Dernières actualités : données personnelles

La communication orale de données personnelles constitue un traitement susceptible d’être soumis au RGPD.

Une requérante, conformément au droit finlandais, a demandé oralement à l’Etelä-Savon käräjäoikeus (tribunal de première instance du Savo méridional, Finlande) des informations portant sur d’éventuelles condamnations pénales en cours ou déjà purgées concernant une personne physique participant à un concours organisé par cette société, afin d’établir les antécédents judiciaires de cette personne. Sa demande ayant été rejetée, elle a interjeté appel de ce jugement devant l’Itä-Suomen hovioikeus (cour d’appel de Finlande orientale, Finlande), qui est la juridiction de renvoi, en soutenant que la communication orale des informations qu’elle sollicite ne constitue pas un traitement de données à caractère personnel, au sens de l’article 4, point 2, du RGPD.

Néanmoins, dans un arrêt Endemol Shine Finland Oy (C-740/22) rendu ce jour, la Cour de Justice de l’UE a estimé que  « la communication orale d’informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées dont une personne physique a fait l’objet constitue un traitement de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement, qui relève du champ d’application matériel de ce règlement dès lors que ces informations sont contenues ou appelées à figurer dans un fichier. » Autrement dit, et comme précise aux points 29 et 30 de l’arrêt que :

29. Il ressort notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35, et du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 46].
30. Cette énumération vise, entre autres, la communication par transmission, la diffusion et « toute autre forme de mise à disposition », ces opérations pouvant être automatisées ou non automatisées. À cet égard, l’article 4, point 2, du RGPD ne pose aucune condition quant à la forme du traitement « non automatisé ». La notion de « traitement » couvre dès lors la communication orale.

[Ajout contextuel Portail RGPD: Si la solution de cet arrêt peut sembler logique en ce qu’elle permet d’éviter le contournement du RGPD, il n’empêche qu’elle a de nombreuses conséquences pratiques. Voici l’exemple qui nous vient en tête: les guichets administratifs ne sont généralement pas connus comme assurant la plus grande confidentialité pour les administrés, de même que les pharmacies ou encore les secrétariats de médecins et d’avocats. Il faudra désormais considérer que dès lors qu’un tiers est en capacité d’entendre la conversation, une violation de données est caractérisée.]

Disponible sur: curia.europa.eu. Aucun communiqué de presse n’a été publié pour le moment.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Traitement de données : Europol et l’État membre dans lequel s’est produit un dommage du fait d’un traitement de données illicite survenu dans le cadre d’une coopération entre eux en sont solidairement responsables

Dans son arrêt, la Cour juge que le droit de l’Union instaure un régime de responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage suite à un traitement de données illicite survenu dans le cadre d’une coopération entre eux. Dans une première étape, la responsabilité solidaire d’Europol ou de l’État membre concerné peut être mise en cause respectivement devant la Cour de justice de l’Union européenne ou devant la juridiction nationale compétente. Le cas échéant, une seconde étape peut se tenir devant le conseil d’administration d’Europol afin de déterminer la « responsabilité ultime » d’Europol et/ou de l’État membre concerné pour la réparation accordée à la personne physique lésée.

Pour engager cette responsabilité solidaire dans le cadre de la première étape, la personne physique concernée doit uniquement démontrer que, à l’occasion d’une coopération entre Europol et l’État membre concerné, un traitement de données illicite qui lui a causé un préjudice a été effectué. Contrairement à ce qu’a jugé le Tribunal (dans l’arrêt T-528/20), il n’est pas requis que cette personne établisse en outre à laquelle de ces deux entités ce traitement illicite est imputable.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.