Cette page “NEWS CJUE” regroupe l’ensemble des publications de FYTT analysant le dernier état de la jurisprudence de la Cour de Justice de l’Union Européenne — RGPD ° Directive e-Privacy — sur la protection de la vie privée de personnes concernées par le traitement de leur vie personnelle, familiale, sociale, économique, psychologique, judiciaire… à savoir, le traitement de leur vie numérique par le biais des données personnelles qu’ils offrent, concèdent, délaissent… à leur insu ou contre leur gré.
Chaque publication présentera une analyse générale de la décision — points essentiels — et renverra pour le reste, à des analyses complémentaires synthétiques sur les faits, les motifs de la décision, la portée de l’affaire commentée et les leçons que les responsables de traitements et les personnes concernées pourront en tirer pour l’avenir.
Une page “NEWS PENAL“, plus spécifique, rassemblera les analyses des décisions de la CJUE les plus récentes en matière de “Police/Justice” — Directive UE 2016/680 ° Procédure pénale — intéressant des individus mis en cause dans le cadre de procédures judiciaires délictuelles ou criminelles (garde à vue, mis en examen, jugement correctionnel, etc..).
Les développements qui suivent constituent une analyse et/ou des conseils de portée générale résultant de la décision analysée. Ils ne sauraient se substituer à une consultation juridique délivrée par un avocat en droit de la protection des données/atteinte à la vie privée numérique/droit spécial du travail.
Toute entreprise responsable de traitements/ toute personne concernée par l’utilisation de ses données personnelles confrontée à une problématique comparable est invitée à prendre contact avec le cabinet.
NB: Les publications “Analyse Critique Approfondie” — ainsi que celles se rapportant à la jurisprudence antérieure de la CJUE — sont disponibles sur demande.
DONNEES BIOEMETRIQUES ° POLICE JUDICIAIRE ° PROFIL ADN ° DUREE DE CONSERVATION DANS LES BASES POLICE
POINTS ESSENTIELS JURISPRUDENCE
DE L’ADN BIOMETRIQUE A L’ADN DE SURVEILLANCE
Quand la Loi se tait et que la Jurisprudence improvise, les garanties minimales protégées par la notion de “nécessité absolue” deviennent une promesse fragile face à la sensibilité des données biométriques faisant l’objet d’une “collecte absolue” par les autorités de Police.
Dans les conclusions de l’affaire C-57/23 (JH contre Policejní prezidium) présentées le 27 février 2025, l’Avocat général Jean Richard de la Tour répond à trois questions préjudicielles posées par la Cour administrative suprême tchèque concernant l’interprétation de la directive 2016/680 sur la protection des données personnelles en matière pénale.
La problématique centrale porte sur la légalité de la collecte et de la conservation des données biométriques et génétiques par les autorités policières tchèques. L’affaire soulève spécifiquement les questions de savoir si une réglementation permettant la collecte de données génétiques de toutes les personnes soupçonnées d’infractions intentionnelles est conforme au principe de minimisation des données, si l’absence de durée maximale de conservation est acceptable, et si la jurisprudence peut se substituer à une disposition législative de portée générale pour encadrer ce traitement.
L’Avocat général propose une interprétation équilibrée mais exigeante de la directive, considérant que celle-ci s’oppose à une réglementation qui permet la collecte indifférenciée de données biométriques sans obligation d’apprécier la “nécessité absolue” dans chaque cas concret. Il estime en revanche que l’absence de durée maximale de conservation n’est pas contraire à la directive si un réexamen régulier avec des garanties procédurales strictes est prévu. Enfin, il conclut que la jurisprudence nationale, même si elle peut constituer du “droit d’un État membre”, ne peut se substituer à une disposition législative de portée générale qui ne prévoit pas un contrôle strict de la nécessité de collecter et conserver ces données particulièrement sensibles.
SCORING ° PROFILAGE ° INTELLIGENCE ARTIFICIELLE ° SECRET DES AFFAIRES
POINTS ESSENTIELS JURISPRUDENCE
HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
La question de la transparence des algorithmes utilisés pour les décisions automatisées, le scoring et le profilage se trouve au cœur de cette affaire, à savoir, l’interprétation des droits d’accès aux données personnelles dans le cadre de décisions automatisées, en lien avec les articles 15, paragraphe 1, sous h), et 22 du RGPD, ainsi que les limitations pouvant être imposées par la protection des secrets d’affaires au sens de la directive 2016/943.
CK, personne concernée dans cette affaire, s’est vu refuser par un opérateur de téléphonie mobile la conclusion ou la prolongation d’un contrat de téléphonie mobile au motif qu’elle était jugée comme présentant une solvabilité insuffisante; cette évaluation ayant été effectuée par un système automatisé mis en œuvre par l’entreprise Dun & Bradstreet Austria GmbH (D & B), spécialiste des évaluations de crédit.
CK a alors demandé à Dun & Bradstreet, responsable de traitements, des informations sur la “logique sous-jacente” utilisée pour calculer le “score” de sa solvabilité, conformément à l’article 15, paragraphe 1, sous h), du RGPD, mais cette dernière a refusé de fournir certaines informations au motif qu’elles étaient couvertes par le secret d’affaires.
La CJUE a rappelé l’obligation pour le responsable du traitement de fournir des informations utiles et intelligibles permettant à la personne concernée de comprendre les facteurs essentiels et la logique du traitement automatisé; elle ajoute, toutefois, que cette obligation ne s’étend pas à la divulgation complète des algorithmes ou des secrets d’affaires protégés, sauf si cela est nécessaire pour vérifier l’exactitude des données.
AMENDES ° CONTEXTE MÈRE/FILIALE ° C.A. DU GROUPE ° BASE DU MONTANT DE L’AMENDE
L’affaire C-383/23 oppose l’Anklagemyndigheden (le Ministère public danois) à la société ILVA A/S, une filiale du groupe Lars Larsen Group, dans le cadre de poursuites pour violation du Règlement général sur la protection des données (RGPD). ILVA A/S aurait manqué à ses obligations en matière de conservation des données à caractère personnel concernant environ 350 000 anciens clients, durant une période allant de mai 2018 à janvier 2019. Les infractions reprochées concernent notamment les articles 5, paragraphe 1, sous e), 5, paragraphe 2, et 6 du RGPD, encadrant la limitation de la durée de conservation des données et les principes de traitement.
En première instance, le Retten i Aarhus (tribunal d’Aarhus) a infligé une amende de 100 000 couronnes danoises (environ 13 400 euros) à ILVA pour négligence, considérant que le chiffre d’affaires du groupe Lars Larsen (6,57 milliards de DKK) ne devait pas être pris en compte pour déterminer le montant de l’amende, la filiale opérant de manière autonome. En appel, le Vestre Landsret (Cour d’appel de la région Ouest) a suspendu sa décision et sollicité l’interprétation de la CJUE concernant la notion d’« entreprise » visée à l’article 83 du RGPD et son articulation avec le droit de la concurrence de l’Union (articles 101 et 102 TFUE).
La juridiction de renvoi a posé les deux questions préjudicielles suivantes, à savoir :
1. Le terme « entreprise » figurant à l’article 83 du RGPD doit-il être compris selon les principes du droit de la concurrence, englobant l’entité économique (et donc le groupe dans son ensemble)?
2. Pour le calcul des amendes, le chiffre d’affaires à considérer est-il celui de l’entité économique (groupe) ou seulement celui de la filiale directement impliquée dans l’infraction?
I.A. SCORING ° PROFILAGE ° INTELLIGENCE ARTIFICIELLE ° LOGIQUE SOUS-JACENTE DE L’ALGORITHME
POURQUOI MOI? ET PAS EUX?
Pas d’inquiétude… si “vous” ne le savez pas, “eux” non plus…!
Et cessez d’insister…Vous ne comprendriez pas.
Human Intelligence vs. Artificial intelligence
HI < SEULE LA MACHINE SAIT < AI
La question de la transparence des algorithmes utilisés pour les décisions automatisées, le scoring et le profilage se trouvait au cœur de cette affaire.
Pour y répondre, l’Avocat général a proposé une solution de compromis s’appuyant sur :
1. Définition de “logique sous-jacente” : Les informations doivent inclure les critères et méthodes essentiels, sans nécessiter la divulgation complète de l’algorithme, lorsque cette divulgation mettrait en péril un secret d’affaires.
2. Transparence et intelligibilité : Les informations doivent être contextualisées pour être compréhensibles par des non-initiés. Une explication des principales caractéristiques influençant la décision est requise, mais pas nécessairement une communication exhaustive de l’algorithme.
3. Compatibilité avec la directive 2016/943 : Le secret d’affaires ne peut pas servir de justification absolue pour refuser toute divulgation. Toutefois, une méthode de communication indirecte (via une autorité ou des données pseudonymisées) peut suffire.
4. Vérification des données utilisées : La personne concernée doit pouvoir vérifier si ses données ont été traitées correctement et si le résultat est cohérent. Cela implique que les erreurs ou biais algorithmiques soient détectables.
COMPÉTENCE ° POUVOIR D’INJONCTION DU CEPD ° “COMPLÉMENT D’INFORMATION”
A TOUS LES APD “CHEFS DE FILE”
Oyez !! Oyez !!
L’Honorable CEPD peut vous forcer la main !
Gare à vous !… Exécution !! !… Au suivant !
Les décisions contraignantes du CEPD peuvent imposer aux “APD Chefs de file” de procéder à de nouveaux actes d’enquêtes afin de compléter leur projet de décision
Statuant en chambre élargie, le Tribunal rejette les recours de la Data Protection Commission (DPC) — l’APD irlandaise — visant à l’annulation partielle des décisions contraignantes du CEDP concernant les traitements transfrontaliers de données liés à l’utilisation du réseau social Facebook, du réseau social Instagram et de la messagerie WhatsApp. Dans son arrêt , il se prononce, pour la première fois, sur la compétence du CEPD pour imposer à une autorité de contrôle nationale “chef de file” d’élargir son analyse d’un cas et, le cas échéant, son enquête.
Le Tribunal relève ainsi que, selon une interprétation littérale des dispositions pertinentes du RGPD, le CEPD est compétent pour adopter des dispositions, telles que les dispositions attaquées, donnant instruction à l’autorité de contrôle chef de file de conduire une nouvelle enquête sur certains aspects des dossiers concernés et d’adopter ensuite de nouveaux projets de décision.
NOTION D’ABUS DU DROIT AU RGPD ° DEMANDE EXCESSIVE ° QUALIFICATION ° LIMITES
77 réclamations en 20 mois…? Excessif ?
« Oui..Mais! »… «Non..Sauf!» répond la Cour.
Dans cette affaire, par une interprétation combinée des dispositions des articles 57(4) et 77(1) du RGPD, la CJUE vient préciser les modalités et les limites opposables à l’exercice abusif … sinon démesuré … des droits d’une personne concernée, lorsque cette dernière adresse une “demande” auprès d’un responsable de traitement et/ou une “réclamation” auprès de l’Autorité de Protection des Données dont elle relève.
La CJUE juge ainsi que les “réclamations” introduites au titre de l’article 77(1) recouvrent la notion de “demande” prévue à l’article 57(4).
Par suite, les Autorités de Contrôle seront en droit de refuser toute “réclamation” manifestement infondée ou excessive si elles établissent l’intention abusive de l’auteur de la demande, dans la mesure où un refus est un acte fort susceptible de porter atteinte aux droits des personnes concernées.
A défaut de preuve d’intention maligne, les Autorités pourront exiger des frais raisonnables et adaptés suivant les circonstances spécifiques de l’espèce justifiant le quantum de réclamations particulièrement élevé du plaignant; un nombre particulièrement élevé ne suffisant pas de facto à qualifier d’excessive les demandes.
CJUE 9 JANVIER 2025 ° ÖSTERREICHISCHE DATENSCHUTZBEHÖRDE ° C-416/23
IDENTITÉ DE GENRE ° FORMULAIRE EN LIGNE ° DISCRIMINATION ° CRITÈRE DE NÉCESSITÉ
Civilité minimum ! Plus de “Monsieur” ni de “Madame”!
La CJUE ne juge plus “ça” nécessaire…
La CJUE enjoint la SNCF de cesser de faire preuve de “civilité” à l’égard de ses clients en jugeant que “l’identité de genre” n’est pas une “donnée nécessaire” à collecter pour faire l’achat en ligne de billets de train, compte tenu d’un “risque de discrimination”; l’affaire opposait la CNIL & SNCF Connect à l’association Mousse — aka « Les Justiciers LGBTQI+ » dixit assomousse.org.
La Cour décide que pour l’achat en ligne d’un billet de train, le traitement de la civilité n’est ni objectivement indispensable ni essentiel à l’exécution du contrat de transport, ajoutant que la communication avec le client peut se faire sans personnalisation basée sur le genre — des formules de politesse génériques et inclusives pouvant être utilisées — et précisant le fait que les usages sociétaux ne justifient pas en eux-même la nécessité d’un traitement.
L’indication de la civilité peut, en revanche, constituer un intérêt légitime — trains de nuit et wagons-couchettes réservés aux femmes — s’il est strictement nécessaire à la réalisation des finalités du traitement et que celles-ci ont été communiquées aux clients avant l’achat de billet.
DONNÉES PERSONNELLES DES SALARIÉS ° CRITÈRE DE NÉCESSITÉ ° CONTRÔLE DU JUGE
La CJUE, dans cette affaire, clarifie l’articulation entre les dispositions spécifiques aux relations de travail prévues par l‘article 88 du RGPD et les principes généraux de la protection des données à caractère personnel.
La Cour souligne l’importance majeure d’un contrôle juridictionnel effectif et complet destiné à garantir aux salariés la protection la plus élevée lorsque des accords collectifs impliquant le traitement de données personnelles de salariés ont été négociés par les partenaires sociaux en violation des dispositions du RGPD portant notamment sur les principes généraux (article 5), les bases légales du traitement (article 6) et les restrictions spécifiques pour les catégories particulières de données sensibles.
Les dispositions légales nationales, ou résultant d’accords d’entreprises/conventions collectives, qui seraient jugées non conformes au RGPD doivent être par suite privées d’effet et d’application à la cause soumise à la juridiction. (article 9).
Le caractère “nécessaire” d’un traitement doit être rigoureusement justifié; les compromis économiques ou pratiques ne peuvent pas justifier un assouplissement des exigences légales.
Les employeurs doivent donc s’assurer que tout traitement de données personnelles dans le cadre des relations de travail respecte non seulement les règles nationales ou conventions collectives applicables, mais aussi toutes les dispositions pertinentes du RGPD; le recours à des solutions technologiques impliquant des transferts internationaux hors UE —- comme ce fût le cas en l’espèce avec la solution digitale Workday —- nécessite une attention particulière pour garantir leur conformité avec le RGPD.
DONNÉES NON COLLECTÉES DIRECTEMENT AUPRÈS DE LA PERSONNE CONCERNÉE ° DROIT A RÉCLAMATION
L’exception à l’obligation d’information de la personne concernée, prévue à l’article 14, paragraphe 5, sous c), s’applique de manière indistincte à toutes les données à caractère personnel non collectées directement auprès de la personne concernée, y compris, les données obtenues par le responsable auprès d’autres entités et les données générées par le responsable lui-même dans le cadre de ses missions.
La Cour motive sa position en interprétant la disposition au regard de l’économie générale du RGPD et de ses objectifs, à savoir garantir un haut niveau de protection des droits fondamentaux liés aux données personnelles. Elle considère que l’exception est applicable dès lors que le traitement est expressément prévu par une loi qui impose des obligations au responsable du traitement.
Elle décide que dans le cadre d’une réclamation fondée sur l’article 77, paragraphe 1, du RGPD, les autorités de contrôle sont compétentes pour vérifier si le droit national ou le droit de l’Union prévoyant l’exception à l’obligation d’information (article 14, paragraphe 5, sous c)) inclut des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, ajoutant que cette vérification ne constitue pas un examen de la validité des dispositions nationales, mais concerne uniquement l’applicabilité de l’exception dans une situation donnée.
La Cour exclut que cette vérification par l’autorité de contrôle porte sur l’adéquation des mesures de sécurité prévues à l’article 32 du RGPD. Ces obligations relatives à la sécurité des données sont distinctes de celles imposées au titre de l’article 14 et doivent être respectées indépendamment de l’exception invoquée.
VIE PRIVÉE ° POURSUITES D’INFRACTIONS QUALIFIÉES DE “GRAVES”
La directive 2002/58, lue à la lumière de la Charte, admet des dérogations à la confidentialité des communications uniquement pour la lutte contre la criminalité grave ou contre des menaces graves à la sécurité publique, sous réserve de strictes conditions de proportionnalité.
La Cour, dans son arrêt confirme que la législation italienne prévoyant un accès aux relevés téléphoniques pour toute infraction passible de trois ans d’emprisonnement n’est pas, en soi, contraire au droit de l’Union. Mais les juges italiens doivent vérifier, dans chaque dossier, si l’accès demandé est réellement justifié et proportionné : autrement dit, la « gravité » supposée de l’infraction (un vol de téléphone aggravé en l’occurrence) doit être appréciée à la lumière des circonstances de l’espèce, au cours d’un contrôle juridictionnel effectif.
Cette décision prolonge la ligne jurisprudentielle antérieure (Digital Rights Ireland, Tele2/Watson, Ministério Fiscal, Prokuratuur, etc.) en insistant à nouveau sur la nécessité de concilier l’objectif légitime de lutte contre les infractions (lorsqu’elles sont suffisamment graves) et les garanties fondamentales tirées des articles 7, 8, 11 et 52, paragraphe 1, de la Charte.
Ce faisant, si la Cour confirme que l’Union laisse aux États membres une marge de manœuvre pour définir et punir les infractions pénales, au besoin en prévoyant un accès aux métadonnées afin de poursuivre les responsables, elle réaffirme aussi que cette ingérence demeure très strictement encadrée : seule une juridiction peut en autoriser la mise en œuvre, après avoir apprécié la proportionnalité au regard du seuil de « criminalité grave » et de la gravité concrète des faits.
CJUE 30 AVRIL 2024 ° PROCURA DELLA REPUBBLICA PRESSO IL TRIBUNALE DI BOLZANO ° C-178/22
Last Updated on 24/04/2026 by Armand-Ari BETTAN & Dominique KARPISEK-BETTAN | FYTT AVOCATS PRIVACYANGELS