Dernières actualités : données personnelles

CJUE – Arrêt C-394/23

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport

Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une personnalisation de la communication commerciale. L’association Mousse a contesté auprès de l’autorité française de protection des données à caractère personnel (CNIL) la pratique de l’entreprise ferroviaire française SNCF Connect qui oblige systématiquement ses clients à indiquer leur civilité (« Monsieur » ou « Madame ») lors de l’achat de titres de transport en ligne. Cette association estime que cette obligation viole le règlement général sur la protection des données (RGPD), notamment, au regard du principe de minimisation des données, car la mention de la civilité, qui correspond à une identité de genre, ne semble pas nécessaire pour l’achat d’un titre de transport ferroviaire. En 2021, la CNIL a décidé de rejeter cette réclamation, considérant que cette pratique ne constituait pas un manquement au RGPD.

La Cour rappelle que, pour qu’un traitement de données puisse être considéré comme nécessaire à l’exécution d’un contrat, ce traitement doit être objectivement indispensable afin de permettre l’exécution correcte de ce contrat. Dans ce contexte, la Cour considère qu’une personnalisation de la communication commerciale fondée sur une identité de genre présumée en fonction de la civilité du client ne paraît pas objectivement indispensable afin de permettre l’exécution correcte d’un contrat de transport ferroviaire. En effet, l’entreprise ferroviaire pourrait opter pour une communication reposant sur des formules de politesse génériques, inclusives et sans corrélation avec l’identité de genre présumée des clients, ce qui constituerait une solution praticable et moins intrusive.

La Cour précise que le traitement de données relatives à la civilité des clients d’une entreprise de transport, ayant pour finalité une personnalisation de la communication commerciale fondée sur leur identité de genre, ne peut pas être considéré comme étant nécessaire :
i) lorsque l’intérêt légitime poursuivi n’a pas été indiqué à ces clients lors de la collecte de ces données,
ii) lorsque le traitement n’est pas opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime, ou
iii) lorsque, au regard de l’ensemble des circonstances pertinentes, les libertés et les droits fondamentaux de ces clients sont susceptibles de prévaloir sur cet intérêt légitime, notamment, en raison d’un risque de discrimination fondée sur l’identité de genre. 

Disponible sur: curia.europa.eu
L’arrêt complet est également disponible. 

NOYB – None of your business

L’autorité autrichienne de protection des données sanctionnée par la CJUE dans son arrêt C‑416/23

Dans l’arrêt C‑416/23 en date du 9 janvier 2025, l’autorité autrichienne de protection des données (DSB) a reçu un camouflet de la part de la CJUE. L’autorité a – arbitrairement – fixé le nombre de plaintes que les personnes concernées peuvent déposer à un maximum de deux par mois, même si l’on est affecté par des violations du GDPR presque quotidiennement. La CJUE a maintenant clarifié les choses : tant que vous ne déposez pas de plaintes abusives, tous les utilisateurs ont le droit de faire réparer toute violation du GDPR par l’ORD. Malheureusement, le fait que les autorités de protection des données tentent de se débarrasser des plaintes n’est pas seulement un problème autrichien. Nos chiffres montrent que l’inactivité des autorités de protection des données est un problème qui touche l’ensemble de l’Union européenne.

[Ajout contextuel Portail RGPD: La CJUE a en effet estimé, dans son arrêt (point 59),  que « l’article 57, paragraphe 4, du RGPD doit être interprété en ce sens que des demandes ne peuvent être qualifiées d’« excessives », au sens de cette disposition, uniquement en raison de leur nombre pendant une période déterminée, l’exercice de la faculté prévue à ladite disposition étant subordonné à la démonstration, par l’autorité de contrôle, de l’existence d’une intention abusive de la part de la personne ayant introduit ces demandes. » Elle précise, point 52, que l’autorité « ne saurait tirer argument, pour refuser de donner suite à une réclamation du fait qu’une personne qui introduit un nombre de réclamations sensiblement supérieur au nombre moyen de réclamations introduites par chaque personne concernée mobilise de façon importante les ressources de cette autorité, au détriment du traitement des réclamations soumises par d’autres personnes. »]

CJEU Decision

Disponible sur: noyb.eu
L’arrêt complet est également disponible.

CJUE – Arrêt C-65/23

La Cour de Justice de l’UE clarifie les dispositions de l’article 88 du RGPD

Dans un arrêt en date du 19 décembre 2024 (C-65/23), la Cour a clarifié les modalités d’application de l’article 88 du RGPD, et la manière de l’articuler avec le reste du RGPD. La Cour a ainsi estimé que :
1) une disposition nationale ayant pour objet le traitement de données à caractère personnel aux fins des relations de travail et ayant été adoptée en vertu de l’article 88, paragraphe 1, de ce règlement doit avoir pour effet de contraindre ses destinataires à respecter non seulement les exigences découlant de l’article 88, paragraphe 2, dudit règlement, mais également celles découlant de l’article 5, de l’article 6, paragraphe 1, ainsi que de l’article 9, paragraphes 1 et 2, de celui-ci.

2) lorsqu’une convention collective relève du champ d’application de cette disposition, la marge d’appréciation dont les parties à cette convention disposent pour déterminer le caractère « nécessaire » d’un traitement de données à caractère personnel, au sens de l’article 5, de l’article 6, paragraphe 1, ainsi que de l’article 9, paragraphes 1 et 2, de ce règlement, n’empêche pas le juge national d’exercer un contrôle juridictionnel complet à cet égard.« 

L’affaire concernait l’introduction dans l’ensemble d’un groupe, du logiciel dénommé « Workday », qui fonctionne en nuage (cloud), en tant que système unique de gestion des informations relatives au personnel. Dans ce cadre, la défenderesse au principal a transféré diverses données à caractère personnel de ses employés depuis le logiciel SAP vers un serveur de la société mère du groupe D, situé aux États‑Unis. Le 3 juillet 2017, la défenderesse au principal et son comité d’entreprise ont conclu un accord établissant une tolérance quant à l’introduction du logiciel Workday (ci‑après l’« accord d’entreprise établissant une tolérance »), qui :
* interdisait, notamment, que ce logiciel soit utilisé à des fins de gestion des ressources humaines, telles que l’évaluation d’un travailleur, pendant la phase d’expérimentation.
* Limitait les données transmises au logiciel au numéro de matricule alloué au travailleur au sein du groupe D, son nom de famille, son prénom, son numéro de téléphone, sa date d’entrée en fonction dans la société concernée, la date de son entrée en fonction dans le groupe D, son lieu de travail, le nom de la société concernée, ainsi que ses numéro de téléphone et adresse électronique professionnels.

Dans ce contexte, le requérant au principal a introduit, devant l’Arbeitsgericht (tribunal du travail, Allemagne) puis devant le Landesarbeitsgericht (tribunal supérieur du travail, Allemagne) territorialement compétents, des demandes visant à obtenir l’accès à certaines informations, l’effacement de données le concernant et l’octroi d’une réparation. Ce requérant a, notamment, allégué que la défenderesse au principal avait transféré, vers le serveur de la société mère, des données à caractère personnel le concernant, dont certaines n’étaient pas mentionnées dans l’accord d’entreprise établissant une tolérance, en particulier, ses coordonnées privées, les détails de son contrat et de sa rémunération, ses numéros de sécurité sociale et d’identification fiscale, sa nationalité ainsi que son état civil.
Insatisfait, le requérant a introduit un recours devant la Cour fédérale allemande qui décide de poser des questions à la CJUE.

Disponible sur: eur-lex.europa.eu
Le dossier complet est également disponible.

CJUE – Arrêt C‑507/23

En cas de violation de données, des excuses peuvent suffire à réparer le dommage moral, mais la bonne foi du responsable de traitement n’importe pas

Dans un arrêt publié ce jour, la Cour a d’abord rappelé qu’une violation de dispositions du RGPD ne suffit pas, à elle seule, pour constituer un « dommage », au sens de cet article 82, paragraphe 1. S’agissant de ce dommage, la CJUE a alors ajouté que : 
1- La présentation d’excuses peut constituer une réparation adéquate d’un dommage moral sur le fondement de cette disposition, notamment lorsqu’il est impossible de rétablir la situation antérieure à la survenance de ce dommage, pour autant que cette forme de réparation soit de nature à compenser intégralement le préjudice subi par la personne concernée.
2- Le RGPD s’oppose à ce que l’attitude et la motivation du responsable du traitement puissent être prises en compte afin, le cas échéant, d’accorder à la personne concernée une réparation inférieure au préjudice qu’elle a concrètement subi.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-200/23

L’avis des autorités de contrôle n’exonère pas les responsables de traitement de leur responsabilité en cas de violation de données

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- L’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.

2- Une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.

3- L’avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-621/22

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-4/23

Le refus d’un État membre de reconnaître le changement de prénom et de genre légalement acquis dans un autre État membre est contraire aux droits des citoyens de l’Union

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- Une réglementation d’un État membre qui refuse de reconnaître et d’inscrire dans l’acte de naissance d’un ressortissant le changement de prénom et d’identité de genre légalement acquis dans un autre État membre, en l’occurrence le Royaume-Uni, est contraire au droit de l’Union. Cela s’applique également si la demande de reconnaissance de ce changement a été faite après le retrait du Royaume-Uni de l’Union.

2- Le refus d’un État membre de reconnaître un changement d’identité de genre légalement acquis dans un autre État membre entrave l’exercice du droit de libre circulation et de séjour. Le genre, comme le prénom, est un élément fondamental de l’identité personnelle. La divergence entre les identités résultant d’un tel refus de reconnaissance crée des difficultés pour prouver son identité dans la vie quotidienne ainsi que de sérieux inconvénients professionnels, administratifs et privés.

3- Ce refus de reconnaissance et le fait de contraindre l’intéressé à engager une nouvelle procédure de changement d’identité de genre dans l’État membre d’origine, l’exposant au risque que celle-ci aboutisse à un résultat différent de celui adopté par les autorités de l’État membre qui ont légalement octroyé ce changement de prénom et d’identité de genre, ne sont pas justifiés.

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

CJUE – Arrêt C-548/21

L’accès de la police aux données contenues dans un téléphone portable n’est pas nécessairement limité à la lutte contre la criminalité grave

Dans un arrêt publié ce jour, la CJUE rappelle que l’accès à l’ensemble des données contenues dans un téléphone portable peut constituer une ingérence grave, voire particulièrement grave, dans les droits fondamentaux de la personne
concernée. Elle estime néanmoins que considérer que seule la lutte contre la criminalité grave est susceptible de justifier l’accès à des données contenues dans un téléphone portable limiterait indûment les pouvoirs d’enquête des autorités compétentes. Il en résulterait un accroissement du risque d’impunité pour des infractions pénales en général et donc un risque pour la création d’un espace de liberté, de sécurité et de justice dans l’Union.

Cela étant, une telle ingérence dans la vie privée et la protection des données doit :
1- Être prévue par la loi, ce qui implique que le législateur national doit définir de manière suffisamment précise les éléments à prendre en compte, notamment, la nature ou les catégories des infractions concernées.
2 – Être subordonnée à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante, sauf en cas d’urgence dûment justifié. Ce contrôle doit assurer un juste équilibre entre, d’une part, les intérêts légitimes liés aux besoins de l’enquête dans le cadre de la lutte contre la criminalité et, d’autre part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.

Enfin, la personne concernée doit être informée des motifs sur lesquels repose l’autorisation d’accéder à ses données, dès que la communication de cette information n’est plus susceptible de compromettre lesenquêtes

Disponible sur: curia.europa.eu. Le dossier complet est également également disponible.

CJUE – Arrêt C-446/21

Un réseau social en ligne tel que Facebook ne peut utiliser l’ensemble des données à caractère personnel obtenues à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de leur nature

Dans un arrêt publié ce jour, la Cour de Justice a estimé que :
1- Le principe de la « minimisation des données », prévu par le RGPD, s’oppose à ce que l’ensemble des données à caractère personnel qui ont été obtenues par un responsable du traitement, tel que l’exploitant d’une plate-forme de réseau social en ligne, auprès de la personne concernée ou de tiers et qui ont été collectées tant sur cette plate-forme qu’en dehors de celle-ci soient agrégées, analysées et traitées à des fins de publicité ciblée, sans limitation dans le temps et sans distinction en fonction de la nature de ces données

2- La circonstance qu’une personne concernée a rendu manifestement publique une donnée concernant son orientation sexuelle a pour conséquence que cette donnée peut faire l’objet d’un traitement, dans le respect des dispositions du RGPD. Toutefois, cette circonstance n’autorise pas, à elle seule, le traitement d’autres données à caractère personnel se rapportant à l’orientation sexuelle de cette personne. Ainsi, la circonstance qu’une personne se soit exprimée sur son orientation sexuelle lors d’une table ronde publique n’autorise pas l’exploitant d’une plate-forme de réseau social en ligne à traiter d’autres données relatives à son orientation sexuelle obtenues, le cas échéant, en dehors de cette plate-forme.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

CJUE – Arrêt C-21/23

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Retour en haut