Dernières actualités : données personnelles

CJUE – Arrêt C-178/22

Le juge chargé d’autoriser l’accès à des relevés téléphoniques pour identifier les auteurs d’une infraction, pour la poursuite de laquelle la loi nationale prévoit un tel accès, doit être habilité à refuser ou à restreindre cet accès 

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE a jugé que selon la loi italienne, le délit de vol aggravé fait partie des infractions justifiant l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge. Elle estime que  l’ingérence dans ces droits fondamentaux causée par l’accès à des relevés téléphoniques est susceptible d’être qualifiée de grave et confirme qu’un tel accès ne peut être accordé qu’aux données de personnes soupçonnées d’être impliquées dans une infraction grave.

La Cour précise qu’il incombe aux États membres de définir les « infractions graves » aux fins de l’application de la directive en question. La législation pénale relève en effet de la compétence des États membres pour autant que l’Union n’ait pas légiféré en la matière. Elle précise également que les États membres ne sauraient dénaturer cette notion et, par extension, celle de « criminalité grave », en y incluant des infractions qui ne sont manifestement pas graves, au regard des conditions sociétales de l’État membre concerné, alors même que le législateur de cet État membre a prévu de les punir d’une peine de réclusion maximale d’au moins trois ans.

Enfin, la Cour estime qu’afin, notamment, de vérifier l’absence d’une dénaturation de la notion de « criminalité grave », il est néanmoins essentiel que, lorsque l’accès aux données conservées comporte le risque d’une ingérence grave dans les droits fondamentaux de la personne concernée, cet accès soit subordonné à un contrôle préalable effectué soit par une juridiction, soit par une entité administrative indépendante. Ainsi, le juge chargé d’autoriser cet accès doit être habilité à refuser ou à restreindre ledit accès lorsqu’il constate que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ledit accès est grave alors qu’il est manifeste que l’infraction en cause n’est pas grave au regard des conditions sociétales prévalant dans l’État membre concerné.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée

CJUE – Arrêt C-470/21

Une autorité publique nationale chargée de la lutte contre les contrefaçons commises en ligne peut accéder à des données d’identification à partir d’une adresse IP

Dans un arrêt du 30 Avril 2024, la Cour de Justice de l’UE, réunie en assemblée plénière, a jugé que les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée. En effet, elle estime que la conservation généralisée et indifférenciée d’adresses IP ne constitue pas nécessairement une ingérence grave dans les droits fondamentaux. Une telle conservation est autorisée lorsque la réglementation nationale impose des modalités de conservation garantissant une séparation effectivement étanche des différentes catégories de données à caractère personnel et excluant ainsi que puissent être tirées des conclusions précises sur la vie privée de la personne concernée.

La Cour précise également que le droit de l’Union ne s’oppose pas à une réglementation nationale autorisant l’autorité publique compétente, dans le seul but d’identifier la personne soupçonnée d’avoir commis une infraction pénale, à accéder aux données d’identité civile correspondant à une adresse IP, conservées de manière séparée et effectivement étanche par les fournisseurs d’accès à Internet. Les États membres doivent néanmoins garantir que cet accès ne permette pas de tirer des conclusions précises sur la vie privée des titulaires des adresses IP concernés.

Lorsque l’accès à des données relatives à l’identité civile des utilisateurs des moyens de communications électroniques a pour seule fin d’identifier l’utilisateur concerné, un contrôle préalable de cet accès par une juridiction ou par une entité administrative indépendante n’est pas exigé dans la mesure où cet accès comporte une ingérence dans les droits fondamentaux qui ne peut être qualifiée de grave. Ce contrôle doit toutefois être prévu dans le cas où les spécificités d’une procédure nationale régissant un tel accès peuvent, par la mise en relation des données et informations collectées au fur et à mesure des différentes étapes de cette procédure, permettre de tirer des conclusions précises sur la vie privée de la personne concernée et, partant, comporter une ingérence grave dans les droits fondamentaux.. Dans un tel cas, ce contrôle par une juridiction ou une entité administrative indépendante doit intervenir avant cette mise en relation.

Disponible sur: curia.europa.eu  Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

NOYB – None of your business

Le procureur général auprès de la CJUE : Facebook doit « minimiser » les données personnelles pour les publicités dans l’UE

Aujourd’hui, le procureur général a publié son avis dans l’affaire C-446/21, estimant que  » l’expression publique de son orientation sexuelle par l’utilisateur d’un réseau social rend cette donnée « manifestement publique », sans pour autant autoriser son traitement à des fins de publicité personnalisée ». L’avocat général propose également « à la Cour de juger que le RGPD s’oppose à ce que des données personnelles puissent être traitées à des fins de publicité ciblée sans limitation dans le temps. La juridiction nationale doit pouvoir estimer, sur base notamment du principe de proportionnalité, dans quelle mesure la période de conservation et la quantité des données traitées sont justifiées par rapport à l’objectif légitime de traitement de ces données pour une publicité personnalisée. L’association NOYB vous fait part de ses premières réactions.

Court of Justice of the European Union

Disponible sur: noyb.eu

CJUE – Arret C-755/21

Traitement de données : Europol et l’État membre dans lequel s’est produit un dommage du fait d’un traitement de données illicite survenu dans le cadre d’une coopération entre eux en sont solidairement responsables

Dans son arrêt, la Cour juge que le droit de l’Union instaure un régime de responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage suite à un traitement de données illicite survenu dans le cadre d’une coopération entre eux. Dans une première étape, la responsabilité solidaire d’Europol ou de l’État membre concerné peut être mise en cause respectivement devant la Cour de justice de l’Union européenne ou devant la juridiction nationale compétente. Le cas échéant, une seconde étape peut se tenir devant le conseil d’administration d’Europol afin de déterminer la « responsabilité ultime » d’Europol et/ou de l’État membre concerné pour la réparation accordée à la personne physique lésée.

Pour engager cette responsabilité solidaire dans le cadre de la première étape, la personne physique concernée doit uniquement démontrer que, à l’occasion d’une coopération entre Europol et l’État membre concerné, un traitement de données illicite qui lui a causé un préjudice a été effectué. Contrairement à ce qu’a jugé le Tribunal (dans l’arrêt T-528/20), il n’est pas requis que cette personne établisse en outre à laquelle de ces deux entités ce traitement illicite est imputable.

Disponible sur: curia.europa.eu. Le dossier complet est également disponible.
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.

Retour en haut