Dernières actualités : données personnelles

Tietosuoja (autorité finlandaise)

Selon l’autorité finlandaise, la sécurité n’est pas un motif justifiant de transmettre les données au format papier plutôt qu’électronique

Dans un communiqué publié ce jour, l’autorité finlandaise déclaré que les données d’abonnement de téléphonie mobile peuvent constituer des données personnelles et sont donc soumises au règlement sur la protection des données. Cette déclaration fait suite à une décision prise concernant le comportement d’un opérateur de téléphonie mobile, suite à une plainte.

La personne concernée avait demandé l’accès à toutes les données relatives à l’utilisation de son abonnement de téléphonie mobile. Elle avait notamment demandé les heures de début et de fin des appels, les destinataires des appels, les données de localisation, les données de renvoi d’appel et d’autres données techniques, et précisant qu’elle souhaitait recevoir ces informations par voie électronique. Néanmoins, l’opérateur de téléphonie mobile n’a fourni qu’une partie des informations demandées par la personne, principalement sur papier et par courrier. Certaines des informations demandées pouvaient être téléchargées à partir du libre-service électronique de l’opérateur.

A la suite de son enquête, l’autorité a ainsi estimé que l’opérateur de téléphonie mobile avait enfreint la législation sur la protection des données en ne fournissant pas les informations par voie électronique malgré la demande. L’opérateur mobile a justifié ses actions, entre autres, par des problèmes de sécurité et par le fait qu’il ne pouvait pas être sûr que l’adresse électronique appartenait à la personne qui avait fait la demande. L’autorité a souligné que les informations auraient pu être envoyées par la poste, par exemple sur une clé USB plutôt que sur papier. Elle a, en conséquence, a adressé un avertissement à l’opérateur de téléphonie mobile.

La décision a également soulevé la question de la qualification des données relatives au trafic (comprenant notamment l’adresse IP, les CDR (« call detail record ») ou encore les informations de la station radio) et de savoir si elles peuvent être considérées comme des données personnelles. L’autorité a sobrement indiqué que cela pouvait être le cas (notamment s’agissant des adresses IP, numéros de téléphone, etc.) mais que cette question est à examiner au cas par cas, et que cela n’a pas été évalué dans ce cas précis car le plaignant n’aurait pas été suffisamment précis.

En fin d’article, l’autorité précise enfin que la décision n’est pas encore définitive.

Disponible (en finnois) sur: tietosuoja.fi
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêts C‑182/22 et C‑189/22

Réparation du préjudice en cas de vol de données : la CJUE précise la distinction entre les notions de  « vol » et « d’usurpation » d’identité mentionnées dans le RGPD

Dans un arrêt publié ce jour, dans le cadre d’une question relative à la réparation du dommage susceptible d’être causé par une violation de données, la Cour a été amenée à préciser les notions de « vol » ou « d’usurpation » d’identité  évoquées aux considérants 75 et 85 du RGPD parmi une liste de dommages physiques ou matériels, ou de préjudice moral susceptibles d’être causés par une violation de données à caractère personnel.

La Cour de Justice de l’UE a estimé que:
55. Ainsi que M. l’avocat général l’a relevé au point 29 de ses conclusions, les différentes versions linguistiques des considérants 75 et 85 du RGPD mentionnent les termes « vol d’identité », « usurpation d’identité », « fraude à l’identité », « abus d’identité » et « détournement d’identité » qui y sont utilisés indistinctement. Par conséquent, les notions de « vol » et d’« usurpation » d’identité sont interchangeables et aucune distinction ne saurait être opérée entre elles. Ces deux dernières notions donnent lieu à la présomption d’une volonté de s’approprier l’identité d’une personne dont les données à caractère personnel ont, auparavant, été volées.

56. De plus, comme l’a également relevé M. l’avocat général au point 30 de ses conclusions, parmi les différentes notions énoncées dans les listes qui figurent aux considérants 75 et 85 du RGPD, la « perte de contrôle » ou l’empêchement « d’exercer le contrôle » sur des données à caractère personnel sont distingués du « vol » ou de l’« usurpation » d’identité. Il s’ensuit que l’accès et la prise de contrôle sur de telles données, qui pourraient être assimilés à un vol de ces dernières, ne sont pas, en eux‑mêmes, assimilables à un « vol » ou à une « usurpation » d’identité. En d’autres termes, le vol de données à caractère personnel ne constitue pas, par lui-même, un vol ou une usurpation d’identité.

Après quelques explications supplémentaires Cour conclut que  « l’article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 75 et 85 de ce règlement, doit être interprété en ce sens que, pour être caractérisée et ouvrir droit à réparation du dommage moral au titre de cette disposition, la notion de « vol d’identité » implique que l’identité d’une personne concernée par un vol de données à caractère personnel soit effectivement usurpée par un tiers. Toutefois, la réparation d’un dommage moral causé par le vol de données à caractère personnel, au titre de ladite disposition, ne saurait être limitée aux cas où il est démontré qu’un tel vol de données a ensuite donné lieu à un vol ou à une usurpation d’identité. »

Disponible sur: curia.europa.eu. Les dossiers complets sont également disponibles : C-182/22 et C-189/22.

CJUE – Conclusions de l’avocat général dans l’affaire C-21/23

Selon l’avocat général Szpunar, Les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé »

L’avocat général de la Cour de Justice propose à la Cour d’interpréter l’article 4, point 15, et l’article 9, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données  en ce sens que : les données des clients d’un pharmacien transmises lors de la commande sur une plateforme de vente en ligne de médicaments dont la vente est réservée aux pharmacies mais qui ne sont pas soumis à prescription ne constituent pas des « données concernant la santé ».

Il le justifie notamment par le fait que :
* Des médicaments non soumis à prescription, ne visent en principe pas le traitement d’un état particulier, mais peuvent être utilisés plus généralement pour traiter des affections du quotidien qui peuvent être rencontrées par chacun et qui ne sont pas symptomatiques d’une pathologie ou d’un état de santé précis
* Le fait qu’une personne commande en ligne un médicament non soumis à prescription n’implique pas nécessairement que cette personne, dont les données sont traitées, en sera l’utilisateur, et non une autre personne de son foyer ou de son cercle
* Une personne peut réaliser une commande par Internet sans qu’il soit besoin de fournir des données précises quant à son identité

Disponible (en anglais) sur: curia.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-604/22

Vente aux enchères des données à caractère personnel à des fins publicitaires: la Cour clarifie les règles sur la base du RGPD

IAB Europe est une association sans but lucratif établie en Belgique qui représente les entreprises du secteur de l’industrie de la publicité et du marketing numériques au niveau européen. IAB Europe a élaboré une solution qu’elle présente comme étant susceptible de rendre conforme au RGPD le système de vente aux enchères, à des courtiers en données, de l’espace publicitaire d’un site internet lorsqu’un utilisateur s’y connecte, afin d’y afficher des publicités adaptées au profil de l’utilisateur (Real Time Bidding) sous réserve qu’il ait octroyé son consentement.

Dans son arrêt, la Cour de justice confirme qu’une « chaîne composée d’une combinaison de lettres et de caractères, telle que la TC String (Transparency and Consent String), contenant les préférences d’un utilisateur d’Internet ou d’une application relatives au consentement de cet utilisateur au traitement des données à caractère personnel le concernant par des fournisseurs de sites Internet ou d’applications ainsi que par des courtiers de telles données et par des plateformes publicitaires, constitue une donnée à caractère personnel au sens de cette disposition dans la mesure où, lorsque celle-ci peut, par des moyens raisonnables, être associée à un identifiant, tels que notamment l’adresse IP de l’appareil dudit utilisateur, elle permet d’identifier la personne concernée. Dans de telles conditions, la circonstance que, sans une contribution extérieure, une organisation sectorielle détenant cette chaîne ne peut ni accéder aux données qui sont traitées par ses membres dans le cadre des règles qu’elle a établies ni combiner ladite chaîne avec d’autres éléments ne fait pas obstacle à ce que la même chaîne constitue une donnée à caractère personnel au sens de ladite disposition. »

En outre, la Cour estime qu’IAB Europe doit être considérée comme « responsable conjoint du traitement », au sens du RGPD. En effet, sous réserve des vérifications auxquelles il incombe à la juridiction de renvoi de procéder, elle paraît influer sur les opérations de traitement des données, lors de l’enregistrement des préférences en matière de consentement des utilisateurs dans une TC String, et déterminer, conjointement avec ses membres, tant les finalités de ces opérations que les moyens à l’origine desdites opérations. Cela étant, et sans préjudice d’une éventuelle responsabilité civile prévue par le droit national, IAB Europe ne saurait être considérée comme responsable, au sens du RGPD, des opérations de traitement de données qui interviennent après l’enregistrement, dans une TC String, des préférences en matière de consentement des utilisateurs, sauf s’il peut être établi que cette association a exercé une influence sur la détermination des finalités et des modalités de ces opérations ultérieures.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

CJUE – Arrêt C-740/22

La communication orale de données personnelles constitue un traitement susceptible d’être soumis au RGPD.

Une requérante, conformément au droit finlandais, a demandé oralement à l’Etelä-Savon käräjäoikeus (tribunal de première instance du Savo méridional, Finlande) des informations portant sur d’éventuelles condamnations pénales en cours ou déjà purgées concernant une personne physique participant à un concours organisé par cette société, afin d’établir les antécédents judiciaires de cette personne. Sa demande ayant été rejetée, elle a interjeté appel de ce jugement devant l’Itä-Suomen hovioikeus (cour d’appel de Finlande orientale, Finlande), qui est la juridiction de renvoi, en soutenant que la communication orale des informations qu’elle sollicite ne constitue pas un traitement de données à caractère personnel, au sens de l’article 4, point 2, du RGPD.

Néanmoins, dans un arrêt Endemol Shine Finland Oy (C-740/22) rendu ce jour, la Cour de Justice de l’UE a estimé que  « la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, qui relève du champ d’application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier. » Autrement dit, et comme précise aux points 29 et 30 de l’arrêt que :

29. Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 46].
30. Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale.

[Ajout contextuel Portail RGPD: Si la solution de cet arrêt peut sembler logique en ce qu’elle permet d’éviter le contournement du RGPD, il n’empêche qu’elle a de nombreuses conséquences pratiques. Voici l’exemple qui nous vient en tête: les guichets administratifs ne sont généralement pas connus comme assurant la plus grande confidentialité pour les administrés, de même que les pharmacies ou encore les secrétariats de médecins et d’avocats. Il faudra désormais considérer que dès lors qu’un tiers est en capacité d’entendre la conversation, une violation de données est caractérisée.]

Disponible sur: curia.europa.eu. Aucun communiqué de presse n’a été publié pour le moment.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut