FYTT #CJUE 28 novembre 2024 | C- 169/23 | Másdi│ Données n’ayant pas été collectées auprès de la personne concernée | Exception à l’obligation d’information | Données générées par le responsable du traitement dans le cadre de son propre processus | Droit de réclamation | Mesures appropriées visant à protéger les intérêts légitimes de la personne concernée

CJUE 28 novembre 2024 | C- 169/23 | Másdi│

Données n’ayant pas été collectées auprès de la personne concernée | Exception à l’obligation d’information | Données générées par le responsable du traitement dans le cadre de son propre processus |

Droit de réclamation | Mesures appropriées visant à protéger les intérêts légitimes de la personne concernée

L’exception à l’obligation d’information de la personne concernée, prévue à l’article 14, paragraphe 5, sous c), s’applique de manière indistincte à toutes les données à caractère personnel non collectées directement auprès de la personne concernée, y compris, les données obtenues par le responsable auprès d’autres entités et les données générées par le responsable lui-même dans le cadre de ses missions.

La Cour motive sa position en interprétant la disposition au regard de l’économie générale du RGPD et de ses objectifs, à savoir garantir un haut niveau de protection des droits fondamentaux liés aux données personnelles. Elle considère que l’exception est applicable dès lors que le traitement est expressément prévu par une loi qui impose des obligations au responsable du traitement.

Elle décide que dans le cadre d’une réclamation fondée sur l’article 77, paragraphe 1, du RGPD, les autorités de contrôle sont compétentes pour vérifier si le droit national ou le droit de l’Union prévoyant l’exception à l’obligation d’information (article 14, paragraphe 5, sous c)) inclut des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, ajoutant que cette vérification ne constitue pas un examen de la validité des dispositions nationales, mais concerne uniquement l’applicabilité de l’exception dans une situation donnée.

La Cour exclut que cette vérification par l’autorité de contrôle porte sur l’adéquation des mesures de sécurité prévues à l’article 32 du RGPD. Ces obligations relatives à la sécurité des données sont distinctes de celles imposées au titre de l’article 14 et doivent être respectées indépendamment de l’exception invoquée.

 



CJUE 28 novembre 2024 | C- 169/23 | Másdi│ Données n’ayant pas été collectées auprès de la personne concernée | Exception à l’obligation d’information |

 


L’affaire concerne l’interprétation du règlement (UE) 2016/679 (RGPD), en particulier l’article 14, relatif aux informations à fournir lorsque des données à caractère personnel n’ont pas été collectées directement auprès de la personne concernée. Plus précisément, il s’agit de déterminer l’étendue de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD, et les pouvoirs des autorités de contrôle en cas de réclamation fondée sur cette disposition.

L’origine du litige se situe en Hongrie, où des certificats d’immunité COVID-19 ont été délivrés par une autorité administrative (l’administration de Budapest) sur la base du décret gouvernemental n° 60/2021, concernant les preuves de vaccination ou de guérison liées à la pandémie.

UC, une personne physique à qui l’on a délivré un certificat COVID-19, a formé une réclamation (article 77 RGPD) devant l’autorité de protection des données hongroise (ci-après « l’autorité de contrôle »), reprochant à l’administration de Budapest de ne pas avoir communiqué ou publié suffisamment d’informations relatives au traitement de ses données personnelles.

Les dispositions clefs du RGPD en cause sont :
– Article 14 (obligation d’information lorsque les données n’ont pas été collectées auprès de la personne concernée).
– Article 14, paragraphe 5, sous c) (dérogation : lorsque l’obtention ou la communication des données sont prévues par le droit de l’Union ou par celui d’un État membre ET que ce droit prévoit des « mesures appropriées » pour protéger les intérêts légitimes de la personne concernée).
– Article 77 (droit d’introduire une réclamation auprès d’une autorité de contrôle).
– Article 32 (sécurité du traitement et mesures techniques et organisationnelles appropriées)

L’autorité de contrôle hongroise avait rejeté la réclamation de UC en considérant que l’administration de Budapest n’était pas tenue de fournir l’information en cause, dès lors que l’article 14, paragraphe 5, sous c), RGPD s’appliquait : la législation nationale imposait la collecte et la communication, donc l’administration était (selon l’autorité de contrôle) dispensée de l’obligation d’information spécifique.

UC a saisi la juridiction hongroise qui a annulé la décision de l’autorité de contrôle et renvoyé l’affaire. Cette juridiction de première instance a notamment jugé que l’exception prévue à l’article 14, paragraphe 5, sous c), ne pouvait pas s’appliquer aux données « générées » par l’administration elle-même (par ex. numéro de série du certificat, codes QR, etc.).


QUESTION(S) PREJUDICIELLE(S) │ SYNTHESE

L’autorité de contrôle a formé un pourvoi en cassation devant la Kúria (Cour suprême, Hongrie) qui a été conduite à poser à la CJUE les trois questions préjudicielles suivantes:

1. L’article 14, paragraphe 5, sous c), du [RGPD] doit-il être interprété – compte tenu de l’article 14, paragraphe 1, et du considérant 62 du RGPD – en ce sens que l’exception que cette disposition prévoit ne s’applique pas aux données générées par le responsable du traitement dans le cadre de son propre processus, mais uniquement aux données que le responsable du traitement a spécifiquement collectées auprès d’une autre personne ?

2. Si l’article 14, paragraphe 5, sous c), du RGPD s’applique également aux données générées par le responsable du traitement dans le cadre de son propre processus, l’article 77, paragraphe 1, du RGPD, qui régit le droit d’introduire une réclamation auprès d’une autorité de contrôle, doit-il être interprété en ce sens qu’une personne physique invoquant une violation de l’obligation d’information peut, dans le cadre de l’exercice de son droit d’introduire une réclamation, également demander que soit examinée la question de savoir si le droit de l’État membre, visé à l’article 14, paragraphe 5, sous c), du RGPD, prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ?

3) En cas de réponse affirmative à la deuxième question, l’article 14, paragraphe 5, sous c), du RGPD peut-il être interprété en ce sens que les “mesures appropriées” auxquelles celui-ci fait référence exigent une transposition (dans la règle de droit), par le législateur national, des mesures de sécurité des données visées à l’article 32 du RGPD ? »

 


CONCLUSIONS DE L’AVOCAT GENERAL

A. Sur l’obligation d’information et l’article 14 RGPD

Une des obligations les plus importantes qui incombent au responsable de traitement, celle qui prime toutes les autres, est de fournir des informations à la personne sur les données qui la concerne, étant précisé que le pendant de cette obligation d’information est l’obligation de transparence.

L’article 14 RGPD couvre toutes les situations où les données n’ont pas été collectées auprès de la personne concernée, et prévoit des exceptions (par exemple, si la loi nationale « remplace » ou « se substitue » à cette obligation d’information), dans les conditions visées à son §5(c) aux termes duquel la loi impose ou autorise expressément l’obtention/communication de données, tout en assurant des garanties équivalentes pour la personne concernée.

B. Sur la notion « d’obtention ou communication » des données

L’avocat général constate une divergence dans les versions linguistiques (certains textes parlent d’obtenir ou communiquer des « données », d’autres parlent d’« informations »); Néanmoins, au regard des finalités du RGPD et de la structure des articles 13-14, l’avocat général estime que l’exception couvre toute situation où les données personnelles n’ont pas été collectées directement auprès de la personne concernée, y compris donc les données « générées » par l’organisme lui-même à partir de données indirectement obtenues.

Il en conclut qu’il ne serait pas pertinent de restreindre la portée de l’article 14, paragraphe 5, sous c), aux seules données provenant d’un autre organisme, soulignant que l’usage du terme « obtention » doit être entendu largement, comme visant toutes les opérations de traitement ne se faisant pas auprès de la personne concernée, afin d’éviter un cloisonnement artificiel (collecte vs. génération) qui annulerait la lisibilité de la règle, conformément à l’économie générale du RGPD

C. Sur le contrôle par l’autorité nationale (article 77 RGPD)

L’article 77, paragraphe 1, RGPD consacre le droit pour toute personne d’introduire une réclamation si elle considère qu’il y a violation du RGPD.

L’avocat général considère qu’une autorité de contrôle doit pouvoir vérifier toutes les conditions d’application de la dérogation, y compris la question de savoir si la législation nationale respecte les standards de l’article 14, paragraphe 5, sous c) (« mesures appropriées visant à protéger les intérêts légitimes de la personne concernée »).

L’autorité de contrôle ne juge pas la validité abstraite de la loi, mais elle examine concrètement si, dans une situation donnée, le droit national applicable offre une protection équivalente; par suite, l’avocat général en conclut que l’autorité de contrôle peut — voire doit — examiner cette condition dans le cadre de la réclamation qui lui est soumise.

D. Sur la portée des « mesures appropriées » prévues aux dispositions de l’article 32 RGPD

– L’avocat général souligne que la référence à l’article 32 RGPD (sécurité des traitements) ne fait pas partie intrinsèque de la question des « mesures appropriées » au sens de l’article 14, paragraphe 5, sous c): les obligations de sécurité visées à l’article 32 ont, en effet, un objet distinct, à savoir assurer la confidentialité des données, leur intégrité, etc.

Or, l’article 14, paragraphe 5, sous c), vise la protection de l’information et la transparence qui emporte une problématique distincte.

– L’avocat général en conclut que pour dispenser de l’obligation d’information, il faut que la loi nationale assure un niveau de protection au moins équivalent à celui qu’aurait fourni l’article 14, sans nécessairement devoir transposer de manière absolue le type de mesures de sécurité de l’article 32 RGPD dans la loi.

 


MOTIVATION DE LA COUR

La Cour a suivi l’économie générale des conclusions de l’avocat général sur l’ensemble des problématiques qui lui étaient soumises par la juridiction de renvoi

1. Sur la première question
– La Cour constate que la dichotomie « collectées auprès des personnes concernées » (article 13) / « non collectées auprès des personnes concernées » (article 14) implique que tout ce qui n’est pas « collecte directe » tombe dans le champ de l’article 14.
– L’exception de l’article 14, paragraphe 5, sous c), vise donc toutes les données traitées sans que la personne concernée ait elle-même fourni directement ces données.
– Conclusion identique à celle de l’AG : cette exception s’applique aussi aux données générées par le responsable à partir d’autres données ou sources.

2. Sur la deuxième question
– La Cour relève que l’article 77, paragraphe 1, RGPD habilite toute personne concernée à saisir l’autorité de contrôle, si elle estime qu’une disposition du RGPD (– dont l’obligation d’information de l’article 14 –) a été violée.
– L’autorité de contrôle doit donc pouvoir apprécier si les conditions d’application de la dérogation sont réunies. Notamment, vérifier que le droit national imposant l’obtention/communication des données prévoit des mesures protectrices suffisantes (« mesures appropriées »).
– La Cour ajoute que l’autorité de contrôle n’a pas à se prononcer sur la validité abstraite de la loi, mais bien sur la question de savoir si, pour la situation donnée, ce droit national respecte l’exigence d’équivalence.

3. Sur la troisième question
– La Cour souligne que l’article 14, paragraphe 5, sous c), n’introduit pas d’exception vis-à-vis des autres obligations du RGPD, dont l’article 32.
– L’examen de la condition relative aux « mesures appropriées » porte sur le fait de savoir si la loi nationale assure qu’un niveau d’information suffisant (celui qu’aurait apporté l’article 14) est garanti, et non sur la transposition détaillée des règles de sécurité (article 32).
– Les autorités ou juridictions ne doivent donc pas, sous couvert de l’article 14, procéder à un audit général du respect de l’article 32. Les mesures de sécurité relèvent d’autres dispositions et restent obligatoires de toute façon.

C’est la première fois que la CJUE se prononce directement sur l’interprétation de l’article 14, paragraphe 5, sous c), RGPD, notamment quant à la problématique « données générées par le responsable lui-même », en clarifiant la large portée de l’exception, et la compétence de l’autorité de contrôle pour examiner la conformité du droit national.

 


PRECEDENTS JURISPRUDENTIELS D’INTERET

1. Arrêt du 1er octobre 2015, Bara e.a. (C-201/14, EU:C:2015:638)
– À propos du devoir d’information des personnes concernées lors de la communication de données entre administrations nationales. La CJUE a jugé que la communication de données de dossiers fiscaux d’une administration à une autre, à des fins différentes, requiert une information préalable.

2. Arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C-210/16, EU:C:2018:388)
– Non spécifiquement l’article 14 RGPD (puisqu’il s’agissait d’un cas pré-RGPD), mais la Cour rappelle l’importance du consentement et de l’information dans le cadre d’un traitement de données (Pages Facebook, etc.).

3. Arrêt du 7 août 2018, Jehovah’s Witnesses (C-25/17, EU:C:2018:551)
– Même époque transitoire entre la directive 95/46/CE et le RGPD, la Cour souligne l’importance pour les responsables de traitement d’informer les personnes concernées de la collecte indirecte dans un cadre précis.

4. Arrêt du 1er août 2022, Österreichische Post (C-300/21, EU:C:2022:604)
– Considère la question de l’information et de la preuve du préjudice dans le cadre du RGPD. Moins centré sur l’article 14, mais illustre la jurisprudence relative aux droits conférés par le règlement (et notamment, indirectement, les effets de l’exercice des droits d’information).