Dernières actualités : données personnelles

L’avis des autorités de contrôle n’exonère pas les responsables de traitement de leur responsabilité en cas de violation de données

Dans un arrêt publié ce jour, la CJUE a estimé que:
1- L’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.

2- Une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.

3- L’avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Un intérêt commercial du responsable du traitement peut constituer un intérêt légitime sous certaines conditions

Dans un arrêt publié ce jour, la CJUE a estimé qu’un traitement de données à caractère personnel consistant en la communication à titre onéreux de données à caractère personnel des membres d’une fédération sportive, en vue de satisfaire à un intérêt commercial du responsable du traitement, ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par ce responsable, au sens de cette disposition, qu’à la condition que ce traitement soit strictement nécessaire à la réalisation de l’intérêt légitime en cause et que, au regard de l’ensemble des circonstances pertinentes, les intérêts ou les libertés et les droits fondamentaux de ces membres ne prévalent pas sur cet intérêt légitime. Si ladite disposition n’exige pas qu’un tel intérêt soit déterminé par la loi, elle requiert que l’intérêt légitime allégué soit licite.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.

Les États membres peuvent prévoir la possibilité pour les concurrents de l’auteur présumé d’une atteinte au RGPD de la contester en justice en tant que pratique commerciale déloyale interdite

Dans un arrêt publié ce jour, la CJUE a estimé :
1- Que le RGPD ne s’oppose pas à une réglementation nationale qui, au-delà des droits et des pouvoirs conférés par le RGPD aux autorités de contrôle nationales, aux personnes concernées et aux associations représentant ces personnes, permet aux concurrents de l’auteur présumé d’une atteinte à la protection des données à caractère personnel d’agir en justice contre lui, en raison de violations de ce règlement, sur la base de l’interdiction des pratiques commerciales déloyales. Au contraire, cela contribue incontestablement à renforcer les droits des personnes concernées et à leur assurer un niveau de protection élevé. Par ailleurs, cela peut s’avérer particulièrement efficace, dans la mesure où l’on pourrait, par ce biais, prévenir un grand nombre de violations du RGPD.

2- Que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale.

En effet, ces données sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable, car un lien est établi entre celle-ci et un médicament, ses indications thérapeutiques ou ses utilisations, que ces informations concernent le client ou toute autre personne pour laquelle celui-ci effectue la commande. Partant, il est indifférent que, en l’absence de prescription médicale, c’est seulement avec une certaine probabilité, et non avec une certitude absolue, que ces médicaments soient destinés aux clients les ayant commandés. Opérer une distinction en fonction du type des médicaments et du fait que leur vente soit ou non soumise à prescription médicale serait contraire à l’objectif de protection élevée du RGPD. Par conséquent, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.