Dernières actualités : données personnelles

CJUE – Arrêt C-710/23

La CJUE estime que la communication des données du représentant d’une personne morale est un traitement soumis au RGPD.

Dans un arrêt publié ce jour, la Cour de Justice de l’UE a estimé que:

1) La communication du prénom, du nom, de la signature et des coordonnées d’une personne physique représentant une personne morale constitue un traitement de données à caractère personnel. La circonstance que cette communication est effectuée dans le seul but de permettre l’identification de la personne physique habilitée à agir au nom de cette personne morale est dénuée de pertinence à cet égard.

2) L’article 6, paragraphe 1, sous c) et e), du règlement 2016/679, lu en combinaison avec l’article 86 de ce règlement, ne s’oppose pas à une jurisprudence nationale qui impose à un responsable du traitement, qui est une autorité publique chargée de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel, d’informer et de consulter la personne physique concernée avant la communication de documents officiels comportant de telles données, pour autant qu’une telle obligation n’est pas impossible à mettre en œuvre ni n’exige des efforts disproportionnés et, partant, n’entraîne pas de restriction disproportionnée du droit d’accès du public à ces documents.

Disponible sur: curia.europa.eu

CJUE – Arrêt C-247/23

RGPD et transidentité : la rectification de données relatives à l’identité de genre ne peut être subordonnée à la preuve d’un traitement chirurgical

Dans un arrêt publié ce jour, la Cour de Justice de l’UE a estimé que :
1- Si la collecte d’une donnée personnelle a pour but d’identifier la personne concernée, ladite donnée semblerait viser l’identité de genre vécue par cette personne, et non celle qui lui aurait été assignée à la naissance. Dans ce contexte, la Cour précise qu’un État membre ne peut invoquer l’absence, dans son droit national, de procédure de reconnaissance juridique de la transidentité pour faire obstacle l’exercice du droit de rectification.
2- Aux fins de l’exercice de son droit de rectification, cette personne peut être tenue de fournir les éléments de preuve pertinents et suffisants qui peuvent raisonnablement être exigés pour établir l’inexactitude desdites données. Cependant, un État membre ne peut en aucun cas subordonner l’exercice du droit de rectification à la production de preuves d’un traitement chirurgical de réassignation sexuelle.

Disponible sur: curia.europa.eu
Le dossier complet est également disponible.

CJUE – Arrêt C-203/22

Évaluation de crédit automatisée : la personne concernée a droit à ce qu’on lui explique comment la décision a été prise à son égard

Dans un arrêt publié ce jour, la Cour de Justice a estimé qu’en matière d’évaluation de crédit automatisée (« credit score »), le responsable du traitement doit décrire la procédure et les principes concrètement appliqués de telle manière que la personne concernée puisse comprendre lesquelles de ses données à caractère personnel ont été utilisées de quelle manière lors de la prise de décision automatisée.

Plus précisément, elle a estimé que l’article 15 doit être interprété en ce sens qu’en cas de prise de décision automatisée, y compris un profilage, au sens de l’article 22, la personne concernée peut exiger du responsable du traitement, au titre des « informations utiles concernant la logique sous-jacente », que celui-ci lui explique, au moyen d’informations pertinentes et d’une façon concise, transparente, compréhensible et aisément accessible, la procédure et les principes concrètement appliqués pour exploiter, par la voie automatisée, les données à caractère personnel relatives à cette personne aux fins d’en obtenir un résultat déterminé, tel un profil de solvabilité. La Cour précise qu’afin de satisfaire aux exigences de transparence et d’intelligibilité, il pourrait notamment être adéquat d’informer la personne concernée de la mesure dans laquelle une variation au niveau des données à caractère personnel prises en compte aurait conduit à un résultat différent. En revanche, la simple communication d’un algorithme ne constituerait pas une explication suffisamment concise et compréhensible.

En outre, dans l’hypothèse où le responsable du traitement considère que les informations à fournir à la personne concernée conformément à cette disposition comportent des données de tiers protégées par ce règlement ou des secrets d’affaires, au sens de l’article 2, point 1, de la directive (UE) 2016/943 du Parlement européen et du Conseil, du 8 juin 2016, sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites, ce responsable est tenu de communiquer ces informations prétendument protégées à l’autorité de contrôle ou à la juridiction compétentes, auxquelles il incombe de pondérer les droits et les intérêts en cause aux fins de déterminer l’étendue du droit d’accès de la personne concernée prévu à l’article 15 de ce règlement.

Disponible sur: curia.europa.eu
Le dossier complet est également disponible.

CJUE – Arrêt C-394/23

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport

Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une personnalisation de la communication commerciale. L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD.

La Cour rappelle que, pour qu’un traitement de données puisse être considéré comme nécessaire à l’exécution d’un contrat, ce traitement doit être objectivement indispensable afin de permettre l’exécution correcte de ce contrat. Dans ce contexte, la Cour considère qu’une personnalisation de la communication commerciale fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable afin de permettre l’exécution correcte d’un contrat de transport ferroviaire. En effet, l’entreprise ferroviaire pourrait opter pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients, ce qui constituerait une solution praticable et moins intrusive.

La Cour précise que le traitement de données relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire :
i) lorsque l’intérêt légitime poursuivi n’a pas été indiqué à ces clients lors de la collecte de ces données,
ii) lorsque le traitement n’est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime, ou
iii) lorsque, au regard de l’ensemble des circonstances pertinentes, les libertés et les droits fondamentaux de ces clients sont susceptibles de prévaloir sur cet intérêt légitime, notamment, en raison d’un risque de discrimination fondée sur l’identité de genre. 

Disponible sur: curia.europa.eu
L’arrêt complet est également disponible. 

NOYB – None of your business

L’autorité autrichienne de protection des données sanctionnée par la CJUE dans son arrêt C‑416/23

Dans l’arrêt C‑416/23 en date du 9 janvier 2025, l’autorité autrichienne de protection des données (DSB) a reçu un camouflet de la part de la CJUE. L’autorité a – arbitrairement – fixé le nombre de plaintes que les personnes concernées peuvent déposer à un maximum de deux par mois, même si l’on est affecté par des violations du GDPR presque quotidiennement. La CJUE a maintenant clarifié les choses : tant que vous ne déposez pas de plaintes abusives, tous les utilisateurs ont le droit de faire réparer toute violation du GDPR par l’ORD. Malheureusement, le fait que les autorités de protection des données tentent de se débarrasser des plaintes n’est pas seulement un problème autrichien. Nos chiffres montrent que l’inactivité des autorités de protection des données est un problème qui touche l’ensemble de l’Union européenne.

[Ajout contextuel Portail RGPD: La CJUE a en effet estimé, dans son arrêt (point 59),  que « l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que des demandes ne peuvent être qualifiées d’« excessives », au sens de cette disposition, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à ladite disposition étant subordonné à la démonstration, par l’autorité de contrôle, de l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes. » Elle précise, point 52, que l’autorité « ne saurait tirer argument, pour refuser de donner suite à une réclamation du fait qu’une personne qui introduit un nombre de réclamations sensiblement supérieur au nombre moyen de réclamations introduites par chaque personne concernée mobilise de façon importante les ressources de cette autorité, au détriment du traitement des réclamations soumises par d’autres personnes. »]

CJEU Decision

Disponible sur: noyb.eu
L’arrêt complet est également disponible.

CJUE – Arrêt C-65/23

La Cour de Justice de l’UE clarifie les dispositions de l’article 88 du RGPD

Dans un arrêt en date du 19 décembre 2024 (C-65/23), la Cour a clarifié les modalités d’application de l’article 88 du RGPD, et la manière de l’articuler avec le reste du RGPD. La Cour a ainsi estimé que :
1) une disposition nationale ayant pour objet le traitement de données à caractère personnel aux fins des relations de travail et ayant été adoptée en vertu de l’article 88, paragraphe 1, de ce règlement doit avoir pour effet de contraindre ses destinataires à respecter non seulement les exigences découlant de l’article 88, paragraphe 2, dudit règlement, mais également celles découlant de l’article 5, de l’article 6, paragraphe 1, ainsi que de l’article 9, paragraphes 1 et 2, de celui-ci.

2) lorsqu’une convention collective relève du champ d’application de cette disposition, la marge d’appréciation dont les parties à cette convention disposent pour déterminer le caractère « nécessaire » d’un traitement de données à caractère personnel, au sens de l’article 5, de l’article 6, paragraphe 1, ainsi que de l’article 9, paragraphes 1 et 2, de ce règlement, n’empêche pas le juge national d’exercer un contrôle juridictionnel complet à cet égard.« 

L’affaire concernait l’introduction dans l’ensemble d’un groupe, du logiciel dénommé « Workday », qui fonctionne en nuage (cloud), en tant que système unique de gestion des informations relatives au personnel. Dans ce cadre, la défenderesse au principal a transféré diverses données à caractère personnel de ses employés depuis le logiciel SAP vers un serveur de la société mère du groupe D, situé aux États‑Unis. Le 3 juillet 2017, la défenderesse au principal et son comité d’entreprise ont conclu un accord établissant une tolérance quant à l’introduction du logiciel Workday (ci‑après l’« accord d’entreprise établissant une tolérance »), qui :
* interdisait, notamment, que ce logiciel soit utilisé à des fins de gestion des ressources humaines, telles que l’évaluation d’un travailleur, pendant la phase d’expérimentation.
* Limitait les données transmises au logiciel au numéro de matricule alloué au travailleur au sein du groupe D, son nom de famille, son prénom, son numéro de téléphone, sa date d’entrée en fonction dans la société concernée, la date de son entrée en fonction dans le groupe D, son lieu de travail, le nom de la société concernée, ainsi que ses numéro de téléphone et adresse électronique professionnels.

Dans ce contexte, le requérant au principal a introduit, devant l’Arbeitsgericht (tribunal du travail, Allemagne) puis devant le Landesarbeitsgericht (tribunal supérieur du travail, Allemagne) territorialement compétents, des demandes visant à obtenir l’accès à certaines informations, l’effacement de données le concernant et l’octroi d’une réparation. Ce requérant a, notamment, allégué que la défenderesse au principal avait transféré, vers le serveur de la société mère, des données à caractère personnel le concernant, dont certaines n’étaient pas mentionnées dans l’accord d’entreprise établissant une tolérance, en particulier, ses coordonnées privées, les détails de son contrat et de sa rémunération, ses numéros de sécurité sociale et d’identification fiscale, sa nationalité ainsi que son état civil.
Insatisfait, le requérant a introduit un recours devant la Cour fédérale allemande qui décide de poser des questions à la CJUE.

Disponible sur: eur-lex.europa.eu
Le dossier complet est également disponible.

CJUE – Arrêt C‑507/23

En cas de violation de données, des excuses peuvent suffire à réparer le dommage moral, mais la bonne foi du responsable de traitement n’importe pas

Dans un arrêt publié ce jour, la Cour a d’abord rappelé qu’une violation de dispositions du RGPD ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. S’agissant de ce dommage, la CJUE a alors ajouté que : 
1- La présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.
2- Le RGPD s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-200/23

L’avis des autorités de contrôle n’exonère pas les responsables de traitement de leur responsabilité en cas de violation de données

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- L’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.

2- Une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.

3- L’avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-621/22

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-4/23

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

Retour en haut