Dernières actualités : données personnelles

L’avis des autorités de contrôle n’exonère pas les responsables de traitement de leur responsabilité en cas de violation de données

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- L’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.

2- Une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.

3- L’avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Reconnaissance faciale dans les aéroports : les individus devraient avoir un contrôle maximal sur les données biométriques

Bruxelles, le 24 mai – Lors de sa dernière session plénière, l’EDPB a adopté un avis sur l’utilisation des technologies de reconnaissance faciale par les exploitants d’aéroports et les compagnies aériennes afin de rationaliser le flux de passagers dans les aéroports*. Cet avis au titre de l’article 64, paragraphe 2, fait suite à une demande de l’autorité française de protection des données et porte sur une question d’application générale produisant des effets dans plus d’un État membre.

L’avis analyse la compatibilité du traitement avec le principe de limitation du stockage (article 5, paragraphe 1, point e), du GDPR), le principe d’intégrité et de confidentialité (article 5, paragraphe 1, point f), du GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 du GPDR). GDPR), la protection des données dès la conception et par défaut (article 25 GDPR) et la sécurité du traitement (article 32 GPDR). Le respect des autres dispositions du GDPR, y compris en ce qui concerne la licéité du traitement, n’entre pas dans le champ d’application du présent avis**.

Il n’existe pas d’obligation légale uniforme dans l’UE pour les exploitants d’aéroports et les compagnies aériennes de vérifier que le nom figurant sur la carte d’embarquement du passager correspond au nom figurant sur sa pièce d’identité, et cette vérification peut être soumise aux législations nationales. Par conséquent, lorsqu’il n’est pas nécessaire de vérifier l’identité des passagers à l’aide d’un document d’identité officiel, il ne faut pas procéder à une telle vérification à l’aide de données biométriques, car cela entraînerait un traitement excessif des données.

Dans son avis, l’EDPB a examiné la conformité du traitement des données biométriques des passagers avec quatre types différents de solutions de stockage, allant de celles qui stockent les données biométriques uniquement entre les mains de l’individu à celles qui reposent sur une architecture de stockage centralisée avec différentes modalités. Dans tous les cas, seules les données biométriques des passagers qui s’inscrivent activement et consentent à participer doivent être traitées.

Disponible (en anglais) sur: edpb.europa.eu
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.