Protection des données personnelles : un état de la jurisprudence

La signature manuscrite d'une personne physique relève-t-elle de la notion de données personnelles ?

La CJUE (Cour de justice de l'Union européenne) a estimé que oui dans le cadre d'un litige opposant un citoyen bulgare à l'agence nationale chargée des inscriptions aux registres. L'intéressé s'était vu refuser la radiation de certaines informations le concernant dans un contrat de société publié au registre du commerce.

L'arrêt CJUE, rendu en octobre dernier, fait partie de la jurisprudence que la CNIL reprend dans ses Tables Informatiques et Libertés. La commission vient effectivement d'actualiser ce document. Nous reprenons ici quelques-unes des décisions qu'elle y a intégrées, dans leurs grandes lignes, en les organisant par juridiction et par ordre chronologique.

Arrêts CJUE

Transmission de données personnelles à des tiers non autorisés (25 janvier)

Un document contenant des données personnelles a été remis à un tiers non autorisé qui n'en a pas pris connaissance. La simple crainte de la personne concernée qu'une diffusion voire un usage abusif se produise dans le futur ne constitue pas un "dommage moral".

Par ailleurs, que cette remise soit liée à une erreur d'employés du responsable de traitement ne suffit pas pour considérer que les mesures techniques et organisationnelles n'étaient pas appropriées.

Conservation de données personnelles dans le cadre d'enquêtes pénales (30 janvier)

La CJUE s'est prononcée sur la conservation de telles données par des autorités de police, concernant des personnes définitivement condamnées pour une infraction pénale intentionnelle relevant de l'action publique, et ce jusqu'à leur décès. Une législation nationale ne peut le prévoir que si :

• Le responsable de traitement est chargé de vérifier régulièrement si cette conservation est toujours nécessaire
• La personne concernée se voit reconnaître le droit à l'effacement de ces données ou à la limitation de leur traitement

Communication orale d'informations pénales (7 mars)

La communication orale d'informations relatives à d'éventuelles condamnations pénales en cours ou déjà purgées constitue un traitement de données personnelles.

Il est interdit de communiquer ainsi de telles données figurant dans un fichier tenu par une juridiction aux fins de garantir un accès du public à des documents officiels, sans que la personne demandant la communication ait à justifier d'un intérêt spécifique à obtenir ces données.

Données personnelles traitées de manière illicite (14 mars)

L'autorité de contrôle peut ordonner au responsable de traitement ou au sous-traitant d'effacer ces données sans demande préalable de la personne concernée, qu'elles aient été collectées directement ou qu'elles proviennent d'une autre source.

Transmission de preuves dans les affaires pénales à dimension transfrontalière (30 avril)

Sur la compétence du procureur
Il n'est pas forcément nécessaire qu'un juge prenne une décision d'enquête européenne visant à la transmission de preuves déjà en possession des autorités compétentes de l'État d'exécution. En l'occurrence, lorsque, en vertu du droit de l'État d'émission, dans une procédure purement interne à cet État, la collecte initiale de ces preuves aurait dû être ordonnée par le juge, mais qu'un procureur est compétent pour ordonner la transmission de ces preuves.

Sur l'infiltration de terminaux pour extraire des données de trafic, de localisation et de communication
Les mesures visant à extraire ces données d'un service de communication fondé sur Internet doivent être notifiées à l'autorité désignée à cet effet par l'État membre sur le territoire duquel se trouve la cible de l'interception.

Accès à l'identité civile correspondant à des adresses IP (30 avril)

La CJUE s'est prononcée sur de tels accès par une autorité publique chargée de la protection des droits d'auteur et des droits voisins.

Une réglementation nationale peut autoriser l'accès à ces données auprès des fournisseurs de services de communication électronique et leur mise en parallèle des adresses IP collectées préalablement par des organismes d'ayants droit. La conservation de ces données ne doit cependant pas permettre de tirer des conclusions précises sur la vie privée des titulaires des adresses IP. Il faut par ailleurs que l'accès serve exclusivement à identifier la personne soupçonnée d'avoir commis une infraction pénale. Les agents autorisés n'ont pas le droit de divulguer des informations sur le contenu des fichiers qu'ont consultés ces titulaires, sauf pour saisir le ministère public ou procéder à un traçage du parcours de navigation.

Reconnaissance du changement de prénom et d'identité de genre (4 octobre)

Une réglementation d'un État membre ne peut interdire de reconnaître et d'inscrire, dans l'acte de naissance d'un ressortissant, le changement de prénom et d'identité de genre acquis dans un autre État membre.

Droit à la réparation (4 octobre)

Une violation du RGPD ne suffit pas, à elle seule, pour constituer un "dommage" au sens de ce même règlement.

La présentation d'excuses peut constituer une réparation adéquate d'un dommage moral, notamment lorsqu'il est impossible de rétablir la situation antérieure à la survenance de ce dommage. Cette forme de réparation doit toutefois être de nature à compenser intégralement le préjudice subi.

L'attitude et la motivation du responsable de traitement ne sauraient, en outre, justifier d'accorder à la personne concernée une réparation inférieure au préjudice concrètement subi.

Publication de données personnelles dans un registre de commerce (4 octobre)

Une personne perd temporairement le contrôle de ses données personnelles, mise à disposition du public, en ligne, dans le registre du commerce d'un État membre. Cela peut suffire à causer un "dommage moral", sans besoin de démontrer l'existence de conséquences négatives tangibles supplémentaires.

L'autorité chargée de la tenue du registre de commerce ne peut refuser toute demande d'effacement de données personnelles non requises par le droit et figurant dans un contrat de société publié dans ce registre, sauf si elle dispose d'une copie de ce contrat occulant les données en question.

Accès aux données d'un téléphone portable (4 octobre et 28 novembre)

Une réglementation nationale peut donner aux autorités compétentes la possibilité d'accéder aux données contenues dans un téléphone portable à des fins de prévention, de recherche, de détection et de poursuites d'infractions pénales. Mais seulement si cette réglementation :

• Définit de manière suffisamment précise la nature ou les catégories des infractions concernées
• Garantit le respect du principe de proportionnalité
• Soumet l'exercice de cette possibilité, sauf en cas d'urgence dûment justifié, à un contrôle préalable d'un juge ou d'une entité administrative indépendante

Les autorités doivent informer la personne concernée des motifs sur lesquels repose l'autorisation, à partir du moment où les informations ne sont plus susceptibles de comprommtre leurs missions.

Exemption d'information pour les collectes indirectes (28 novembre)

L'article 14 du RGPD liste les informations à fournir lorsque des données personnelles n'ont pas été collectées auprès de la personne concernée. Il établit une exception lorsque l'obtention ou la communication des informations sont expressément prévues par le droit de l'UE ou d'un État membre auquel le responsable du traitement est soumis.
La CJUE a rappelé que cette exception concerne indistinctement toutes les données personnelles que le responsable de traitement n'a pas collectées auprès de la personne concernée.

Décisions du Conseil d'État

Accès aux documents administratifs (22 mars)

Le Conseil d'État s'est prononcé sur une demande de communication d'un registre de contentieux et d'isolement.

Dans le cas où l'identité des patients a fait l'objet d'une pseudonymisation, il appartient au juge administratif d'apprécier si la communication des données est susceptible de porter atteinte à la protection de la vie privée et au secret médical. Ce eu égard à la sensibilité des informations en cause et aux efforts nécessaires pour identifier les personnes concernées.

En l'espèce, les informations touchent à la santé mentale des patients. Et le nombre restreint de personnes pouvant faire l'objet d'une mesure de contention et d'isolement facilite leur identification. L'identifiant "anonymisé" des patients doit donc être regardé comme une information sensible qui ne doit être communiquée qu'à l'intéressé.

Restrictions à l'accès (31 décembre)

De telles restrictions peuvent être prononcées lorsque les demandes d'accès sont présentées de manière non précise compte tenu de la quantité de données personnelles traitées par un fichier. D'autres restrictions peuvent être apportées compte tenu notamment des caractéristiques des données en cause.

Jugements en cassation

Licenciement sur la base de communications privées (6 mars)

Un employeur ne peut, pour procéder au licenciement d'un salarié, se fonder sur le contenu de message qui, même envoyés au moyen de la messagerie professionnelle, relèvent de la vie personnelle du salarié, dès lors que :

• Ces messages s'inscrivaient dans le cadre d'échanges privée, à l'intérieur d'un groupe de personnes, et n'avaient pas vocation à devenir publics
• Les opinions exprimées par le salarié n'ont eu aucune incidence sur son emploi ou ses relations avec les usagers ou ses collègues
• Il n'est pas établi que ces messages auraient été connus en dehors du cadre privé

Profilage par l'employeur (30 avril)

Dans le cadre des rapports employeur/employé, le fait d'effectuer des recherches sur des personnes portant sur des données personnelles est susceptible de constituer un moyen de collecte déloyal. Ce dès lors que de telles données, issues de la capture et du recoupement d'informations diffusées sur des sites publics, ont été utilisées sans rapport avec l'objet de leur mise en ligne et ont été recueillies à l'insu des personnes concernées.

Qu'une partie des données collectées aient été en accès libre sur Internet ne retire rien au caractère déloyal de la collecte, dès lors qu'elle en pouvait s'effectuer sans que les personnes concernées en soient informées.

Reconnaissance faciale sans autorisation préalable (9 octobre)

Des enquêteurs peuvent recourir à cette technique sans qu'un magistrat les y ait autorisés. L'ingérence dans l'exercice du droit au respect de la vie privée est justifiée par l'objectif légitime de poursuite des auteurs d'infractions et proportionnée au but recherché... sous conditions. En l'occurrence, que le fichier dont dépend l'outil de reconnaissance faciale ne puisse contenir que les données personnelles des personnes déclarées coupables des infractions les plus graves. Et que le juge, saisi par voie de requête en nullité, puisse vérifier que seuls des agents spécialement habilités ont accédé à ce fichier.

Illustration © your123 - Adobe Stock