Guidelines

Ici viendront les guidelines

Union Européenne

Retour au sommaire

Groupe 29

Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 - wp251rev.01  (6 février 2018)

(Approuvées par le CEPD)

Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.

Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.

Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.

La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.

Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.

Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.

Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.

Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.

Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.

Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI

Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.

Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.

Lien

Retour au sommaire

Belgique

Autorité de protection des données

Recommandation relative aux techniques de nettoyage de données et de destruction de supports de données - 3/2020 (7 janvier 2021)

L’Autorité de protection des données (APD) remplit de nombreuses missions, dont celle d’éclairer les citoyens, entreprises et acteurs publics quant à certaines questions en lien avec la protection des données. Parmi ces questions, celles liées à une élimination ‘sécurisée’ de données ou de supports de données sont assurément récurrentes.

Quelles que soient leurs motivations, les responsables du traitement souhaitent mener à bien cette opération mais manquent parfois d’une vision claire sur ce qui constitue un résultat satisfaisant (notamment sur le plan de la protection des données à caractère personnel) et sur la manière d’atteindre un tel résultat.

La rareté, au niveau international, des documents de référence sur le sujet, voir leur absence au niveau européen et national, conjuguée avec la volonté de l’APD de fournir aux parties intéressées un guide utile sous forme de lignes directrices claires, à jour et complètes, sont à l’origine de la présente recommandation.

Ce document présente les différentes techniques de « nettoyage » existantes (réécriture, effacement cryptographique, démagnétisation,…) pour différents types de supports (HD, SSD, papier,…) qui, soit rendent l’accès aux données impossible sur un support préservé (effacement sans possibilité de reconstitution et chiffrement), soit aboutissent à la destruction du support (sans possibilité de reconstruction).

La recommandation aborde aussi ce traitement (nettoyage et destruction) d’une manière plus large en détaillant ses différents aspects, tant légaux (notamment liés au RGPD) que techniques ou organisationnels et examine le traitement dès avant l’achat des supports jusqu’aux étapes de vérification et d’enregistrement des résultats.

Enfin, un tableau récapitulatif présente au lecteur, en fonction du type de support, les techniques de nettoyage et destruction recommandées permettant d’atteindre le niveau de confidentialité désiré.

Si les principes et concepts évoqués dans ce document sont par nature relativement pérennes, il est certains outils, méthodes ou exemples présentés qui, au vu de l’évolution des connaissances et des techniques dans le domaine, pourraient devoir être actualisés plus rapidement. Les paragraphes ou parties de texte potentiellement concernés sont précédés des caractères ‘\\’ (double barres obliques inversées).

Lien

Retour au sommaire

Union Européenne

Jurisprudence de la CJUE

C-553/07 (7 mai 2009) - Rijkeboer

L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, impose aux États membres de prévoir un droit d’accès à l’information sur les destinataires ou les catégories de destinataires des données ainsi qu’au contenu de l’information communiquée non seulement pour le présent, mais aussi pour le passé. Il appartient aux États membres de fixer un délai de conservation de cette information ainsi qu’un accès corrélatif à celle-ci qui constituent un juste équilibre entre, d’une part, l’intérêt de la personne concernée à protéger sa vie privée, notamment au moyen des voies d’intervention et de recours prévus par la directive 95/46, et, d’autre part, la charge que l’obligation de conserver cette information représente pour le responsable du traitement.

Une réglementation limitant la conservation de l’information sur les destinataires ou les catégories de destinataires des données et le contenu des données transmises à une durée d’un an et limitant corrélativement l’accès à cette information, alors que les données de base sont conservées beaucoup plus longtemps, ne saurait constituer un juste équilibre des intérêt et obligation en cause, à moins qu’il ne soit démontré qu’une conservation plus longue de cette information constituerait une charge excessive pour le responsable du traitement. Il appartient à la juridiction nationale d’effectuer les vérifications nécessaires.

Conclusions de l'Avocat général

Arrêt rendu

C-486/12 (12 décembre 2013) - X

1)      L’article 12, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il ne s’oppose pas à la perception de frais à l’occasion de la communication par une autorité publique de données à caractère personnel.

2)      L’article 12, sous a), de la directive 95/46 doit être interprété en ce sens que, afin de garantir que les frais perçus à l’occasion de l’exercice du droit d’accès aux données à caractère personnel ne soient pas excessifs au sens de cette disposition, leur montant ne doit pas excéder le coût de la communication de ces données. Il appartient à la juridiction nationale d’effectuer, au regard des circonstances de l’affaire au principal, les vérifications nécessaires. 

Arrêt rendu

C-131/12 (13 mai 2014) - Google Spain et Google

1)      L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement, au sens dudit article 2, sous d).

2)      L’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre.

3)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

4)      Les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Conclusions de l'Avocat général

Arrêt rendu

C-141/12 ; C-372/12 (17 juillet 2014) - YS e.a.

1)      L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que les données relatives au demandeur d’un titre de séjour figurant dans un document administratif, telle que la «minute» en cause au principal, exposant les motifs que l’agent avance à l’appui du projet de décision qu’il est chargé de rédiger dans le cadre de la procédure préalable à l’adoption d’une décision relative à la demande d’un tel titre, et, le cas échéant, celles figurant dans l’analyse juridique que contient ce document constituent des «données à caractère personnel», au sens de cette disposition, ladite analyse ne pouvant en revanche pas recevoir, en tant que telle, la même qualification.

2)      L’article 12, sous a), de la directive 95/46 et l’article 8, paragraphe 2, de la charte des droits fondamentaux de l’Union européenne doivent être interprétés en ce sens que le demandeur d’un titre de séjour dispose d’un droit d’accès à l’ensemble des données à caractère personnel le concernant qui font l’objet d’un traitement par les autorités administratives nationales au sens de l’article 2, sous b), de cette directive. Pour qu’il soit satisfait à ce droit, il suffit que ce demandeur soit mis en possession d’un aperçu complet de ces données sous une forme intelligible, c’est-à-dire une forme permettant à ce demandeur de prendre connaissance desdites données et de vérifier que ces dernières sont exactes et traitées de manière conforme à cette directive, afin que ledit demandeur puisse, le cas échéant, exercer les droits qui lui sont conférés par ladite directive.

3)      L’article 41, paragraphe 2, sous b), de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens que le demandeur d’un titre de séjour ne peut pas invoquer cette disposition à l’encontre des autorités nationales.

Conclusions de l'Avocat général

Arrêt rendu

C-398/15 (9 mars 2017) - Manni

L’article 6, paragraphe 1, sous e), l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus en combinaison avec l’article 3 de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers, telle que modifiée par la directive 2003/58/CE du Parlement européen et du Conseil, du 15 juillet 2003, doivent être interprétés en ce sens que, en l’état actuel du droit de l’Union, il appartient aux États membres de déterminer si les personnes physiques, visées à l’article 2, paragraphe 1, sous d) et j), de cette dernière directive, peuvent demander à l’autorité chargée de la tenue, respectivement, du registre central, du registre du commerce ou du registre des sociétés de vérifier, sur la base d’une appréciation au cas par cas, s’il est exceptionnellement justifié, pour des raisons prépondérantes et légitimes tenant à leur situation particulière, de limiter, à l’expiration d’un délai suffisamment long après la dissolution de la société concernée, l’accès aux données à caractère personnel les concernant, inscrites dans ce registre, aux tiers justifiant d’un intérêt spécifique à la consultation de ces données.

Conclusions de l'Avocat général 

Arrêt rendu

C‑507/17 (24 septembre 2019) - Google (Portée territoriale du déréférencement)

L’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 17, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.

Conclusions de l'Avocat général

Arrêt rendu

C-136/17 (24 septembre 2019) - GC e.a. (Déréférencement de données sensibles)

1)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.

2)      Les dispositions de l’article 8, paragraphes 1 et 5, de la directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions.

L’article 8, paragraphe 2, sous e), de la directive 95/46 doit être interprété en ce sens que, en application de celui-ci, un tel exploitant peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, paragraphe 1, mais dont le traitement est couvert par l’exception prévue audit article 8, paragraphe 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.

3)      Les dispositions de la directive 95/46 doivent être interprétées en ce sens que,

–        d’une part, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, paragraphe 5, de cette directive, et

–        d’autre part, l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté, dans le cadre de la vérification des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive, que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée, garantis par les articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, prévalent sur ceux des internautes potentiellement intéressés, protégés par l’article 11 de cette charte.

Arrêt de la cour

Conclusions de l'avocat général

C-129/21, (27 octobre 2022) Proximus (Annuaires électroniques publics)

2)      L’article 17 du règlement 2016/679

doit être interprété en ce sens que :

la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires ainsi que des services de renseignements téléphoniques accessibles au public constitue un recours au « droit à l’effacement », au sens de cet article.

3)      L’article 5, paragraphe 2, et l’article 24 du règlement 2016/679

doivent être interprétés en ce sens que :

une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires et de services de renseignements téléphoniques accessibles au public auxquels il a fourni de telles données, du retrait du consentement de cet abonné.

4)      L’article 17, paragraphe 2, du règlement 2016/679

doit être interprété en ce sens que :

il ne s’oppose pas à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les fournisseurs de moteurs de recherche de cette demande d’effacement des données.

Arret de la cour

Conclusions de l'avocat général

C-460/20, 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact)

1)      L’article 17, paragraphe 3, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

dans le cadre de la mise en balance qu’il convient d’opérer entre les droits visés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, d’une part, et ceux visés à l’article 11 de la charte des droits fondamentaux, d’autre part, aux fins de l’examen d’une demande de déréférencement adressée à l’exploitant d’un moteur de recherche et tendant à ce que soit supprimé de la liste de résultats d’une recherche le lien menant vers un contenu comportant des allégations que la personne ayant introduit la demande estime inexactes, ce déréférencement n’est pas soumis à la condition que la question de l’exactitude du contenu référencé ait été résolue, au moins à titre provisoire, dans le cadre d’un recours intenté par cette personne contre le fournisseur de contenu.

2)      L’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et l’article 17, paragraphe 3, sous a), du règlement 2016/679

doivent être interprétés en ce sens que :

dans le cadre de la mise en balance qu’il convient d’opérer entre les droits visés aux articles 7 et 8 de la charte des droits fondamentaux, d’une part, et ceux visés à l’article 11 de la charte des droits fondamentaux, d’autre part, aux fins de l’examen d’une demande de déréférencement adressée à l’exploitant d’un moteur de recherche et tendant à ce que soient supprimées des résultats d’une recherche d’images effectuée à partir du nom d’une personne physique des photographies affichées sous la forme de vignettes qui représentent cette personne, il y a lieu de tenir compte de la valeur informative de ces photographies indépendamment du contexte de leur publication sur la page Internet d’où elles sont extraites, mais en prenant en considération tout élément textuel qui accompagne directement l’affichage de ces photographies dans les résultats de recherche et qui est susceptible d’apporter un éclairage sur la valeur informative de celles-ci.

Arret de la cour

Conclusions de l'avocat général

C-60/22 (4 mai 2023) - Bundesrepublik Deutschland

1)      L’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

2)      Le droit de l’Union doit être interprété en ce sens que, lorsque le responsable du traitement de données à caractère personnel a méconnu les obligations lui incombant en vertu des articles 26 ou 30 du règlement, la licéité de la prise en compte de telles données par une juridiction nationale n’est pas subordonnée au consentement de la personne concernée.

Arret rendu

Retour au sommaire

Belgique

Jurisprudence belge

C. const. Be., n°51/2014 (27 mars 2014)

La Cour - annule l'article 11 de la loi du 3 août 2012 « portant dispositions relatives aux traitements de données à caractère personnel réalisés par le Service public fédéral Finances dans le cadre de ses missions » en ce qu'il permet au responsable du traitement des données de (i) refuser l'exercice des droits garantis par les articles 9, § 2, 10 et 12 de la loi du 8 décembre 1992 « relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel » à l'égard des données personnelles du contribuable qui sont étrangères à l'objet de l'enquête ou du contrôle en cours et (ii) en ce qu'il ne prévoit pas de limitation dans le temps de la possibilité de faire exception à l'application de ces droits justifiée par l'accomplissement d'actes préparatoires à un contrôle ou à une enquête

La circonstance que la loi ne définisse pas explicitement ce qu’il faut entendre par la notion de « préparatifs » à une enquête ou à un contrôle n’a pas forcément pour effet que le critère de distinction, qui repose en partie sur cette notion, soit non objectif ou dénué de pertinence. Dans le silence de la loi, cette notion doit s’entendre dans son sens courant. Elle implique que des actes indiquant l’intention de l’administration d’ouvrir une enquête ou de procéder à un contrôle à l’égard d’un contribuable déterminé aient été posés préalablement à la demande de celui-ci d’exercer les droits garantis par la loi du 8 décembre 1992 et qu’une mention de ces actes figure dans le dossier du contribuable. En d’autres termes, la demande formulée par le contribuable d’avoir accès aux données personnelles le concernant ne peut pas constituer elle-même l’élément déclencheur d’une enquête ou d’un contrôle à partir duquel l’accès peut lui être refusé.

Arrêt rendu

C. const. Be., n°144/2020 (12 novembre 2020)

1. En ce qu’il permet au gestionnaire de réseau de distribution de traiter les informations issues des compteurs d’électricité intelligents uniquement pour réaliser ses « missions légales ou réglementaires », l’article 35septies, § 2, alinéa 2, du décret du 12 avril 2001 n’autorise pas le gestionnaire de réseau de distribution à traiter des données personnelles en dehors des hypothèses limitatives de l’article 6 du RGPD. En effet, en vertu de l’article 6, paragraphe 1, c), du RGPD, le traitement des données personnelles est licite s’il est nécessaire au respect d’une « obligation légale ». Ce renvoi « au respect d’une obligation légale » ne signifie pas que cette obligation doit nécessairement s’inscrire dans une « loi » au sens formel du terme, étant donné que le renvoi se situe dans une norme européenne. Ainsi, le renvoi à une « obligation légale » se borne à faire référence à toute obligation découlant d’une norme de l’ordre juridique de l’Union ou de l’État membre, comme le confirme l’article 6, paragraphe 3, du RGPD qui dispose que « le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :a) le droit de l’Union; ou b) le droit de l’État membre auquel le responsable du traitement est soumis ».

En conséquence, le fait que le gestionnaire de réseau peut, conformément à l’article 35septies, § 2, alinéa 2, précité, traiter des données personnelles pour réaliser ses missions légales ou réglementaires n’entraîne aucune violation de l’article 6, paragraphe 1, c), du RGPD.

2. En permettant au gestionnaire de réseau de distribution de conserver des données personnelles issues des compteurs d’électricité intelligents au-delà d’une durée de cinq ans lorsqu’il y est obligé pour réaliser ses « missions », l’article 35septies, § 2, alinéa 3, du décret du 12 avril 2001 s’inscrit dans le droit fil de l’article 17, paragraphe 3, b), du RGPD. En effet, les « missions » auxquelles il est fait référence dans cette disposition décrétale visent les missions d’intérêt général qui sont attribuées par voie légale ou réglementaire au gestionnaire de réseau de distribution, sans qu’il soit nécessaire de les énumérer exhaustivement. Ainsi, si un traitement des données personnelles, qui peut entraîner la conservation de ces données, est nécessaire pour réaliser une mission légale ou réglementaire du gestionnaire de réseau de distribution, le droit à l’effacement ne peut pas s’exercer pendant le temps limité à l’exercice de cette mission, sans que cela ne viole l’article 5, paragraphe 1, e), ni l’article 17, paragraphe 1, du RGPD.

3. La notion de « sous-traitant » dans l’article 35septies, § 3, du décret du 12 avril 2001, n’est ni floue, ni plus étendue que celle qui est contenue dans le RGPD. Il est clair que le « sous-traitant » visé par l’article 35septies, § 3, précité, est celui qui opère, au nom et pour le compte du gestionnaire de réseau de distribution, un traitement des données personnelles dans le cadre de l’exécution d’une ou de plusieurs missions légales et réglementaires confiées à ce dernier. En effet, en vertu du paragraphe 2, alinéa 2, de l’article 35septies, le gestionnaire de réseau de distribution peut uniquement traiter les données personnelles issues des compteurs d’électricité intelligents pour réaliser ses missions légales ou réglementaires ou pour réaliser toute autre mission légitime pour laquelle le consentement des personnes concernées a été donné de manière libre et explicite pour des finalités spécifiques. Le traitement de données par un sous-traitant qui agit au nom et pour le compte du gestionnaire de réseau de distribution doit se situer dans ce même cadre, c’est-à-dire dans le cadre précis de l’exécution des missions dont le gestionnaire de réseau de distribution est investi par la loi ou le règlement.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1111 (30 juin 2021)

La Cour a annulé la décision au motif que la décision imposait une mesure corrective à Google Belgium alors que le responsable du traitement en cause est Google LLC (contre laquelle la plainte devrait être déposée), sans motiver suffisamment en quoi les activités de Google Belgium seraient inextricablement liées au responsable du traitement (Google LLC).

Google Belgium ne pourrait faire l'objet d'une mesure corrective que si l'APD peut prouver le lien entre les deux sociétés.

De plus, la Cour confirme la décision de publier la décision sans supprimer le nom de Google. Toutefois, la Cour reconnaît qu'elle n'est pas compétente pour annuler toute communication de l'APD autour de l'affaire, ni pour imposer une action à cet égard. Néanmoins, la Cour regrette que l'APD et ses membres communiquent dans la presse sur une affaire toujours pendante.

Arrêt rendu

Bruxelles – Section Cour des marchés n° 2020/AR/1160 (24 février 2021)

S'agissant de la question de savoir si un consentement est requis pour figurer ou non dans les annuaires téléphoniques et quelle est la portée de ce consentement, la Cour d'appel a également considéré que :

1° Dans les situations où la directive e-Privacy précise les règles édictées par le RGPD, ces dispositions particulières de la directive e-Privacy en tant que lex specialis prévalent sur les dispositions plus générales du RGPD. (principe de Lex specialis derogate legi generali)

2° L'article 12, paragraphe 1, et le considérant 38 de la directive ePrivacy font référence à l'exigence du consentement éclairé au sens de la directive 95/46/EG des abonnés pour être inclus dans les annuaires publics. Suite à l'article 94 GDPR qui stipule que toutes les références à 95/46/EG doivent être considérées comme des références au GDPR, les articles susmentionnés font donc référence au "consentement" à la lumière du GDPR et donc à la condition d'un consentement valide (article 7 GDPR) doit être respecté.

3° Ce consentement porte sur la finalité de publication des données personnelles dans les annuaires, mais pas sur l'identité du fournisseur de l'annuaire. Par conséquent, le tribunal déclare que le consentement donné sera également valable pour le traitement ultérieur des données personnelles par d'autres fournisseurs d'annuaires, à condition que ce traitement ait la même finalité.

Etant donné qu'il s'agit d'une matière complexe qui soulève des questions qui ne sont pas encore abordées par le législateur, la Cour d'appel de Bruxelles a sursis à statuer pour demander à la Cour de justice une décision préjudicielle sur les questions suivantes :

1° L'article 72.2 de la directive e-Privacy 2002/58/CE, lu en combinaison avec l'article 2, sous f), de cette directive et avec l'article 95 du règlement général sur la protection des données doit-il être interprété comme permettant d'interpréter un contrôle national comme permettant à une autorité de contrôle nationale d'exiger le "consentement" d'un abonné au sens du règlement général sur la protection des données comme base pour la publication des données à caractère personnel de l'abonné dans les annuaires publics et les services de renseignements téléphoniques, tant ceux publiés par l'opérateur lui-même et par des prestataires tiers, prestataires, en l'absence de législation nationale contraire ?

2° Le droit d'effacement prévu à l'article 17 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle considère une demande de radiation d'un particulier des annuaires publics et des services de renseignements comme une demande d'effacement au sens de l'article 17 du Règlement général sur la protection des données ?

3° L'article 24 et l'article 5, paragraphe 2, du règlement général sur la protection des données doivent-ils être interprétés en ce sens qu'ils s'opposent à ce qu'une autorité nationale de contrôle conclue de l'obligation de responsabilité qui y est contenue que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les tiers responsables du traitement, à savoir le fournisseur de services téléphoniques et, entre autres, les fournisseurs d'annuaires téléphoniques et de services de renseignements téléphoniques qui ont reçu des données de ce responsable du traitement, de tout retrait de consentement par la personne concernée conformément à l'article 6 en liaison avec l'article 7 du règlement ?

4° L'article 17.2 du règlement général sur la protection des données doit-il être interprété en ce sens qu'il s'oppose à ce qu'une autorité nationale de contrôle enjoigne à un fournisseur d'annuaires publics et de services de renseignements téléphoniques auquel il est demandé de cesser de divulguer des données relatives à une personne physique de prendre des mesures raisonnables pour informer les moteurs de recherche de cette demande de suppression de données ?

Arrêt rendu (Néerlandais)

Bruxelles – Section Cour des marchés n° 2022/AR/549 (07 décembre 2022)

La Cour d'appel a annulé la décision le l'APD qui avait infligé une amende de 7 500 € à un responsable du traitement pour avoir restauré des données personnelles sur l'ordinateur portable de travail d'un ancien employé parce que l'APD n'avait pas suffisamment précisé les violations alléguées du RGPD par le responsable du traitement.

Arrêt rendu

Retour au sommaire

France

Jurisprudence française

CE Fr., n°148975 (9 juillet 1997)

Les résultats d'un sondage comportant des questions qui demandent aux personnes interrogées ce qu'elles pensent d'une personnalité ne constituent pas des informations nominatives concernant cette personnalité. Celle-ci ne saurait, par suite, être titulaire du droit d'accès organisé par l'article 34 de la loi du 6 janvier 1978, ni des droits de communication, de rectification et d'effacement qui en découlent.

Arrêt rendu

Cass. Fr., n°08-17-191 (8 décembre 2009)

Les mesures d'informations prévue par la loi du 6 janvier 1978 informatique et libertés et reprises par la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique pour assurer la protection des droits des personnes concernées, doivent être énoncées dans l'acte instituant la procédure d'alerte.

Arrêt rendu

CE Fr., n°360759 (11 avril 2014)

Si les données nominatives figurant dans le fichier traitement des antécédents judiciaires (TAJ) portent sur des informations recueillies au cours d'enquêtes préliminaires ou de flagrance ou d'investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que certaines contraventions de cinquième classe, les décisions en matière d'effacement ou de rectification prises par le procureur de la République ou par le magistrat désigné à cet effet, qui ont pour objet la tenue à jour de ce fichier et sont détachables d'une procédure judiciaire, constituent non pas des mesures d'administration judiciaire, mais des actes de gestion administrative du fichier. Elles peuvent, par suite, faire l'objet d'un recours pour excès de pouvoir devant le juge administratif.

Arrêt rendu

Cass. Fr., n°17-10.499 (14 février 2018)

Il résulte des articles 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui réalisent la transposition en droit interne des article 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et de l'arrêt Google Spain rendu le 13 mai 2014 par la Cour de justice de l'Union européenne (C-131/12) que la juridiction saisie d'une demande de déréférencement est tenue de porter une appréciation sur son bien-fondé et de procéder, de façon concrète, à la mise en balance des intérêts en présence, de sorte qu'elle ne peut ordonner une mesure d'injonction d'ordre général conférant un caractère automatique à la suppression de la liste de résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, des liens vers des pages internet contenant des informations relatives à cette personne. Dès lors, viole les articles 38 et 40 de la loi n° 78-17 du 6 janvier 1978, le second dans sa rédaction applicable au litige issue de la loi n° 2004-801 du 6 août 2004, ensemble l'article 5 du code civil, une cour d'appel qui, saisie d'une telle demande, prononce une injonction d'ordre général et sans procéder, comme il le lui incombait, à la mise en balance des intérêts en présence.

Arrêt rendu

CE Fr., n°405939 (3 octobre 2018)

Lorsque l'auteur de la plainte se fonde sur la méconnaissance des droits qu'il tient du I de l'article 40 de la loi n° 78-17 du 6 janvier 1978, notamment le droit de rectification de ses données personnelles, le pouvoir d'appréciation de la CNIL pour décider des suites à y donner s'exerce, eu égard à la nature des droits individuels en cause, sous l'entier contrôle du juge de l'excès de pouvoir.

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées

Arrêt rendu

Cass. Fr., n°18-14.675 (27 novembre 2019)

Il résulte des articles 9, 38 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans leur rédaction applicable au litige, qui doivent être interprétés à la lumière de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données, et de l'arrêt rendu le 24 septembre 2019 par la Cour de justice de l'union européenne (GC e.a. contre Commission nationale de l'informatique et des libertés, C-136/17) que, lorsqu'une juridiction est saisie d'une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l'inclusion du lien litigieux dans la liste des résultats, affichée à la suite d'une recherche effectuée à partir du nom d'une personne, répond à un motif d'intérêt public important, tel que le droit à l'information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt. Dès lors, ne donne pas de base légale à sa décision une cour d'appel qui rejette une demande de déréférencement portant sur des liens permettant d'accéder à des comptes-rendus d'audience relatant une condamnation pénale, publiés sur le site internet d'un journal, sans rechercher, comme il le lui incombait, si, compte tenu de la sensibilité des données en cause et, par suite, de la particulière gravité de l'ingérence dans les droits de l'intéressé au respect de sa vie privée et à la protection de ses données à caractère personnel, l'inclusion des liens litigieux dans la liste des résultats était strictement nécessaire pour protéger la liberté d'information des internautes potentiellement intéressés à avoir accès aux pages internet concernées.

Arrêt rendu

CE Fr., n°391000, 393769, 395335, 397755, 401258, 40368, 405464, 405910, 407776, 409212, 423326 et 49154, X c. CNIL (6 décembre 2019)

"Les 13 décisions du 6 décembre 2019 ont été adoptées à la lumière de l’arrêt de la Cour de Justice de l’Union européenne rendu le 24 septembre 2019 en réponse à une question du Conseil d’État. Elles définissent, sur le fondement du RGPD, le cadre dans lequel un exploitant de moteur de recherche doit, sous le contrôle de la CNIL, respecter le droit au déréférencement". Certaines des décisions portent sur des catégories de données particulières d'autres non.

"Les grands principes de ce cadre sont :

• Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue.

• Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit.

• Le droit à l’oubli n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public.

• L’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles.

Trois catégories de données personnelles sont concernées :

• des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …),

• des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale),

• et des données touchant à la vie privée sans être sensibles.

La protection dont bénéficient les deux premières catégories est la plus élevée : il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public. Pour la troisième catégorie, il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause.

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles".

Source

Décisions rendues: 391000, 393769, 395335, 397755, 399999, 401258, 403868, 405464, 405910, 407776, 409212, 423326 et 429154

Fiche juridique "Droit à l'oubli" du CE français

CE Fr., n°399922 (27 mars 2020)

1. Par un arrêt du 24 septembre 2019, Google LLC contre CNIL (C-507/17), la CJUE a dit pour droit que l'article 12, sous b), et l'article 14, premier alinéa, sous a), de la directive 95/46/CE du 24 octobre 1995 ainsi que l'article 17, paragraphe 1, du règlement (UE) 2016/679 du 27 avril 2016 doivent être interprétés en ce sens que, lorsque l'exploitant d'un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d'opérer ce déréférencement non pas sur l'ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l'ensemble des Etats membres et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d'empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l'un des Etats membres d'avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l'objet de cette demande.

2. a) Si la CNIL soutient en défense que la sanction contestée trouve son fondement dans la faculté que la CJUE a reconnue aux autorités de contrôle d'ordonner de procéder à un déréférencement portant sur l'ensemble des versions d'un moteur de recherche, il ne résulte, en l'état du droit applicable, d'aucune disposition législative qu'un tel déréférencement pourrait excéder le champ couvert par le droit de l'Union européenne pour s'appliquer hors du territoire des Etats membres de l'Union européenne.

b) Au surplus, il résulte en tout état de cause des énonciations du point 72 de l'arrêt de la CJUE du 24 septembre 2019 qu'une telle faculté ne peut être ouverte qu'au terme d'une mise en balance entre, d'une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d'autre part, le droit à la liberté d'information.

Or, il ressort des termes mêmes de la délibération attaquée que, pour constater l'existence de manquements persistants et reprocher à la société requérante d'avoir méconnu l'obligation de principe de procéder au déréférencement portant sur l'ensemble des versions d'un moteur de recherche, la formation restreinte de la CNIL n'a pas effectué une telle mise en balance.

Arrêt rendu

CE fr, N° 463487 (20 avril 2023), 

2. Il résulte de l'arrêt du 24 septembre 2019 de la Cour de justice de l'Union européenne (C-136/17) que, lorsque des liens accessibles depuis un moteur de recherche mènent vers des pages web contenant des données à caractère personnel relatives à des procédures pénales visées à l'article 10 du RGPD, l'ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée est susceptible d'être particulièrement grave en raison de la sensibilité de ces données. Il s'ensuit qu'il appartient en principe à la Commission nationale de l'informatique et des libertés (CNIL), saisie d'une demande tendant à ce qu'elle mette l'exploitant d'un moteur de recherche en demeure de procéder au déréférencement de liens renvoyant vers de telles pages web, publiées par des tiers et contenant de telles données, de faire droit à cette demande. Il n'en va autrement que s'il apparaît, compte tenu du droit à la liberté d'information, que l'accès à une telle information à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public. Pour apprécier s'il peut être légalement fait échec au droit au déréférencement au motif que l'accès à des données à caractère personnel relatives à une procédure pénale à partir d'une recherche portant sur le nom de la personne concernée est strictement nécessaire à l'information du public, il incombe à la CNIL de tenir notamment compte, d'une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d'avoir pour la personne concernée et, d'autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d'accéder aux mêmes informations à partir d'une recherche portant sur des mots-clés ne mentionnant pas le nom de la personne concernée.

Arrêt rendu

Conclusions du Rapporteur

Retour au sommaire

Le GDPR

L’article 17 du Règlement investit toute personne concernée par un traitement de données à caractère personnel d’un droit à l’oubli numérique et à l'effacement.

L’apport majeur de cette disposition est de fixer et les conditions d’exercice du droit à l’oubli numérique, notamment l’obligation qui est faite au responsable du traitement ayant rendu publiques des données à caractère personnel d’informer les tiers de la demande de la personne concernée d'effacer tout lien vers ces données ou les copies ou reproductions qui en ont été faites.

Ainsi, en vertu l’article 17 du Règlement, l’effacement doit être obtenu dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

-les données ne sont plus nécessaires au regard des finalités présidant le traitement ;

-lorsque la personne concernée a retiré le consentement sur lequel est fondé le traitement et qu’il n’existe pas d’autre fondement juridique au traitement ;

-lorsque la personne concernée exerce son droit général d’opposition (art. 21), et qu’il n'existe pas de motif légitime impérieux pour le traitement ou lorsqu’elle exerce son droit spécifique d’opposition en matière de marketing direct (art. 21, § 2) ;

-lorsque les données ont fait l'objet d'un traitement illicite ;

-lorsque les données doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis.

- lorsque les données ont été collectées dans le cadre d’une offre de services de la société de l’information s’adressant aux enfants, au sens de l’article 8, paragraphe 1er.

Compte tenu des technologies disponibles et des coûts de mise en œuvre, le responsable du traitement qui a rendu publiques les données et serait tenu de les effacer suite à l’exercice du droit à l’oubli, doit prendre des mesures raisonnables, y compris d’ordre technique, afin d’informer les autres responsables qui traitent les données dont la personne concernée a demandé l’effacement, de procéder également audit effacement de tout lien vers ces données, ou de toute copie ou reproduction de celles-ci.

Le droit à l’oubli numérique et à l’effacement ne pourra cependant pas être exercé lorsque le traitement des données est nécessaire:

-  pour l’exercice de la liberté d’expression et d’information ;

- pour respecter une obligation légale à laquelle est soumis le responsable et qui requiert le traitement ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable ;

-pour des motifs d’intérêt public dans le domaine de la santé publique, conformément aux dispositions sur les données sensibles, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3.

-à des fins d’archivage dans l’intérêt général ou à des fins scientifiques, statistiques et historiques conformément à l’article 89 pour autant que l’exercice du droit à l’oubli rende vraisemblablement impossible ou porte sérieusement atteinte à la réalisation des objectifs des finalités d’archivage dans l’intérêt public ou des finalités scientifiques, de recherche historique ou encore statistique ;

-à la constatation, à l’exercice ou à la défense de droits en justice.

La Directive

Présenté en grandes pompes comme l’innovation majeure du Règlement, le droit à l’effacement était toutefois déjà contenu, à tout le moins, en germe dans la Directive, en son article 12, point b).

On renvoie ici à l’arrêt important rendu par la grande chambre de la Cour de justice de l’Union européenne le 13 mai 2014 ((CJUE, Google Spain SL c. Costeja, 13 mai 2014, C-121/12). Après avoir considéré que Google est soumis aux dispositions de la Directive 95/46/CE (ou de la loi de transposition) et qu’il est considéré comme le responsable du traitement, la Cour a jugé que les droits de rectification et d’opposition consacrés par ces dispositions permettent à une personne de réclamer le déréférencement de liens litigieux.

Les demandes au titre des articles 12, sous b) (correction), et 14, premier alinéa, sous a) (opposition), de la Directive pouvaient donc être directement adressées par la personne concernée au responsable du traitement qui doit alors dûment examiner le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. Lorsque le responsable du traitement ne donnait pas suite à ces demandes, la personne concernée pouvait saisir l’autorité de contrôle ou l’autorité judiciaire pour que celles-ci effectuent les vérifications nécessaires et ordonnent à ce responsable des mesures précises en conséquence.

Belgique

L’article 12, § 1er, 2ème alinéa de la loi du 8 décembre 1992 reconnaît à toute personne le droit de s'opposer, pour des raisons sérieuses et légitimes tenant à une situation particulière, à ce que des données la concernant fassent l'objet d'un traitement, sauf lorsque le traitement est nécessaire, soit  à l’exécution d’un contrat au sens de l’article 5, b) de la loi, soit à la sauvegarde de l’intérêt vital de la personne concernée au sens de l’article 5, c) de la loi. Lorsqu’il est fondé, le droit d’opposition oblige le responsable à cesser tout traitement relatif auxdites données. En outre, chacun dispose du droit « absolu » de s’opposer, sans justification et gratuitement, au traitement de ses données à des fins de marketing direct.

Le droit d’opposition est complété par le droit d’obtenir sans frais la suppression ou l'interdiction d'utilisation de toute donnée à caractère personnel qui serait incomplète ou non pertinente ou dont l'enregistrement, la communication ou la conservation seraient interdits ou encore qui a été conservée au-delà de la période autorisée.

Les modalités d’exercice de ces droits sont définies aux articles 32 à 35 de l’arrêté royal du 13 février 2001 portant exécution de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel. Concrètement, si le responsable refuse ou ne répond pas à une demande d’opposition ou de suppression dans un délai d’un mois, la personne concernée peut soit  saisir la Commission de la protection de la vie privée qui procédera alors aux vérifications nécessaires (art. 13 de la loi) ; soit saisir directement le président du tribunal de première instance de son domicile ou à défaut celui du domicile du responsable de traitement (art. 14 de la loi).

France

En vertu de l’article 40 de la loi Informatique et Libertés, toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

Il appartient au responsable de démontrer qu’il a accompli les opérations nécessaires pour donner suite à la demande de la personne concernée, à moins qu’il ne démontre que les données contestées ont été communiquées par l'intéressé ou avec son accord. Si les données ont été communiquées à un tiers, le responsable doit notifier auxdits tiers les opérations accomplies.

 

Difficultés probables

Tant sous l’empire de la Directive que sous l’égide du Règlement, ni le droit général d’opposition, ni le droit à l’oubli numérique ne sont absolus. 

Il est certain que les précisions apportées par la disposition sur les hypothèses dans lesquelles ce droit peut être exercé seront précieuses et permettront de rendre plus prévisibles les demandes légitimes d’effacement. Le problème viendra plutôt de la mise en œuvre des exceptions, imposant de difficiles pondérations d’intérêts, dont la responsabilité reposera d’abord sur le responsable du traitement.

Le caractère ubiquitaire d’internet et la possibilité de reproduction illimitée des informations sur la toile obligent en outre les personnes concernées à répéter inlassablement leur demande de déréférencement auprès des moteurs de recherche, dès l’apparition de nouveaux sites web hébergeant lesdites informations. Cette répétition chronophage et énergivore a parfois vite fait de décourager les personnes concernées. Cette situation n’est pas de nature à garantir au citoyen une maîtrise réelle de ses données à caractère personnel.

Le devoir à charge du responsable du traitement d’informer les autres responsables qui traitent les données faisant l’objet de la demande d’effacement permettra-t-il de simplifier la tâche des personnes concernées ? On verra en pratique et au regard des limites admises par le texte lui-même (à partir de quel moment, cela sortira-t-il du raisonnable ?).