POINTS ESSENTIELS JURISPRUDENCE
DE L’ADN BIOMETRIQUE A L’ADN DE SURVEILLANCE
Quand la Loi se tait et que la Jurisprudence improvise, les garanties minimales protégées par la notion de “nécessité absolue” deviennent une promesse fragile face à la sensibilité des données biométriques faisant l’objet d’une “collecte absolue” par les autorités de Police.
Dans les conclusions de l’affaire C-57/23 (JH contre Policejní prezidium) présentées le 27 février 2025, l’Avocat général Jean Richard de la Tour répond à trois questions préjudicielles posées par la Cour administrative suprême tchèque concernant l’interprétation de la directive 2016/680 sur la protection des données personnelles en matière pénale.
La problématique centrale porte sur la légalité de la collecte et de la conservation des données biométriques et génétiques par les autorités policières tchèques. L’affaire soulève spécifiquement les questions de savoir si une réglementation permettant la collecte de données génétiques de toutes les personnes soupçonnées d’infractions intentionnelles est conforme au principe de minimisation des données, si l’absence de durée maximale de conservation est acceptable, et si la jurisprudence peut se substituer à une disposition législative de portée générale pour encadrer ce traitement.
L’Avocat général propose une interprétation équilibrée mais exigeante de la directive, considérant que celle-ci s’oppose à une réglementation qui permet la collecte indifférenciée de données biométriques sans obligation d’apprécier la “nécessité absolue” dans chaque cas concret. Il estime en revanche que l’absence de durée maximale de conservation n’est pas contraire à la directive si un réexamen régulier avec des garanties procédurales strictes est prévu. Enfin, il conclut que la jurisprudence nationale, même si elle peut constituer du “droit d’un État membre”, ne peut se substituer à une disposition législative de portée générale qui ne prévoit pas un contrôle strict de la nécessité de collecter et conserver ces données particulièrement sensibles.
POINTS ESSENTIELS JURISPRUDENCE
HI < SEULE LA MACHINE SAIT < AI
Entre transparence, intérêts bien cachés et confidentialité, la logique sous-jacente aux décisions automatisées doit éclairer sans trahir, pour garantir les droits des individus sans sacrifier les secrets d’affaires.
La CJUE impose au responsable de traitement d’éclairer la logique brumeuse des algorithmes sans dévoiler les équations, afin de concilier le droit de savoir et le devoir de protéger.
La question de la transparence des algorithmes utilisés pour les décisions automatisées, le scoring et le profilage se trouve au cœur de cette affaire, à savoir, l’interprétation des droits d’accès aux données personnelles dans le cadre de décisions automatisées, en lien avec les articles 15, paragraphe 1, sous h), et 22 du RGPD, ainsi que les limitations pouvant être imposées par la protection des secrets d’affaires au sens de la directive 2016/943.
CK, personne concernée dans cette affaire, s’est vu refuser par un opérateur de téléphonie mobile la conclusion ou la prolongation d’un contrat de téléphonie mobile au motif qu’elle était jugée comme présentant une solvabilité insuffisante; cette évaluation ayant été effectuée par un système automatisé mis en œuvre par l’entreprise Dun & Bradstreet Austria GmbH (D & B), spécialiste des évaluations de crédit.
CK a alors demandé à Dun & Bradstreet, responsable de traitements, des informations sur la “logique sous-jacente” utilisée pour calculer le “score” de sa solvabilité, conformément à l’article 15, paragraphe 1, sous h), du RGPD, mais cette dernière a refusé de fournir certaines informations au motif qu’elles étaient couvertes par le secret d’affaires.
La CJUE a rappelé l’obligation pour le responsable du traitement de fournir des informations utiles et intelligibles permettant à la personne concernée de comprendre les facteurs essentiels et la logique du traitement automatisé; elle ajoute, toutefois, que cette obligation ne s’étend pas à la divulgation complète des algorithmes ou des secrets d’affaires protégés, sauf si cela est nécessaire pour vérifier l’exactitude des données.
L’affaire C-383/23 oppose l’Anklagemyndigheden (le Ministère public danois) à la société ILVA A/S, une filiale du groupe Lars Larsen Group, dans le cadre de poursuites pour violation du Règlement général sur la protection des données (RGPD). ILVA A/S aurait manqué à ses obligations en matière de conservation des données à caractère personnel concernant environ 350 000 anciens clients, durant une période allant de mai 2018 à janvier 2019. Les infractions reprochées concernent notamment les articles 5, paragraphe 1, sous e), 5, paragraphe 2, et 6 du RGPD, encadrant la limitation de la durée de conservation des données et les principes de traitement.
En première instance, le Retten i Aarhus (tribunal d’Aarhus) a infligé une amende de 100 000 couronnes danoises (environ 13 400 euros) à ILVA pour négligence, considérant que le chiffre d’affaires du groupe Lars Larsen (6,57 milliards de DKK) ne devait pas être pris en compte pour déterminer le montant de l’amende, la filiale opérant de manière autonome. En appel, le Vestre Landsret (Cour d’appel de la région Ouest) a suspendu sa décision et sollicité l’interprétation de la CJUE concernant la notion d’« entreprise » visée à l’article 83 du RGPD et son articulation avec le droit de la concurrence de l’Union (articles 101 et 102 TFUE).
La juridiction de renvoi a posé les deux questions préjudicielles suivantes, à savoir :
1. Le terme « entreprise » figurant à l’article 83 du RGPD doit-il être compris selon les principes du droit de la concurrence, englobant l’entité économique (et donc le groupe dans son ensemble)?
2. Pour le calcul des amendes, le chiffre d’affaires à considérer est-il celui de l’entité économique (groupe) ou seulement celui de la filiale directement impliquée dans l’infraction?
POURQUOI MOI? ET PAS EUX?
Pas d’inquiétude… si “vous” ne le savez pas, “eux” non plus…!
Et cessez d’insister…Vous ne comprendriez pas.
Human Intelligence vs. Artificial intelligence
HI < SEULE LA MACHINE SAIT < AI
La question de la transparence des algorithmes utilisés pour les décisions automatisées, le scoring et le profilage se trouvait au cœur de cette affaire.
Pour y répondre, l’Avocat général a proposé une solution de compromis s’appuyant sur :
1. Définition de “logique sous-jacente” : Les informations doivent inclure les critères et méthodes essentiels, sans nécessiter la divulgation complète de l’algorithme, lorsque cette divulgation mettrait en péril un secret d’affaires.
2. Transparence et intelligibilité : Les informations doivent être contextualisées pour être compréhensibles par des non-initiés. Une explication des principales caractéristiques influençant la décision est requise, mais pas nécessairement une communication exhaustive de l’algorithme.
3. Compatibilité avec la directive 2016/943 : Le secret d’affaires ne peut pas servir de justification absolue pour refuser toute divulgation. Toutefois, une méthode de communication indirecte (via une autorité ou des données pseudonymisées) peut suffire.
4. Vérification des données utilisées : La personne concernée doit pouvoir vérifier si ses données ont été traitées correctement et si le résultat est cohérent. Cela implique que les erreurs ou biais algorithmiques soient détectables.
A TOUS LES APD “CHEFS DE FILE”
Oyez !! Oyez !!
L’Honorable CEPD peut vous forcer la main !
Gare à vous !… Exécution !! !… Au suivant !
Les décisions contraignantes du CEPD peuvent imposer aux “APD Chefs de file” de procéder à de nouveaux actes d’enquêtes afin de compléter leur projet de décision
Statuant en chambre élargie, le Tribunal rejette les recours de la Data Protection Commission (DPC) — l’APD irlandaise — visant à l’annulation partielle des décisions contraignantes du CEDP concernant les traitements transfrontaliers de données liés à l’utilisation du réseau social Facebook, du réseau social Instagram et de la messagerie WhatsApp. Dans son arrêt , il se prononce, pour la première fois, sur la compétence du CEPD pour imposer à une autorité de contrôle nationale “chef de file” d’élargir son analyse d’un cas et, le cas échéant, son enquête.
Le Tribunal relève ainsi que, selon une interprétation littérale des dispositions pertinentes du RGPD, le CEPD est compétent pour adopter des dispositions, telles que les dispositions attaquées, donnant instruction à l’autorité de contrôle chef de file de conduire une nouvelle enquête sur certains aspects des dossiers concernés et d’adopter ensuite de nouveaux projets de décision.
Exercice des droits | Demande | Réclamation | Demande Excessive = Qualification = Limites =
77 réclamations en 20 mois…? Excessif ?
« Oui..Mais! »… «Non..Sauf!» répond la Cour.
Dans cette affaire, par une interprétation combinée des dispositions des articles 57(4) et 77(1) du RGPD, la CJUE vient préciser les modalités et les limites opposables à l’exercice abusif … sinon démesuré … des droits d’une personne concernée, lorsque cette dernière adresse une “demande” auprès d’un responsable de traitement et/ou une “réclamation” auprès de l’Autorité de Protection des Données dont elle relève.
La CJUE juge ainsi que les “réclamations” introduites au titre de l’article 77(1) recouvrent la notion de “demande” prévue à l’article 57(4).
Par suite, les Autorités de Contrôle seront en droit de refuser toute “réclamation” manifestement infondée ou excessive si elles établissent l’intention abusive de l’auteur de la demande, dans la mesure où un refus est un acte fort susceptible de porter atteinte aux droits des personnes concernées.
A défaut de preuve d’intention maligne, les Autorités pourront exiger des frais raisonnables et adaptés suivant les circonstances spécifiques de l’espèce justifiant le quantum de réclamations particulièrement élevé du plaignant; un nombre particulièrement élevé ne suffisant pas de facto à qualifier d’excessive les demandes.
CJUE 9 janvier 2025 | Österreichische Datenschutzbehörde | C-416/23
Identité de genre | Formulaire en ligne | Discrimination & Critère de nécessité
Civilité minimum ! Plus de “Monsieur” ni de “Madame”!
La CJUE ne juge plus “ça” nécessaire…
La CJUE enjoint la SNCF de cesser de faire preuve de “civilité” à l’égard de ses clients en jugeant que “l’identité de genre” n’est pas une “donnée nécessaire” à collecter pour faire l’achat en ligne de billets de train, compte tenu d’un “risque de discrimination”; l’affaire opposait la CNIL & SNCF Connect à l’association Mousse — aka « Les Justiciers LGBTQI+ » dixit assomousse.org.
La Cour décide que pour l’achat en ligne d’un billet de train, le traitement de la civilité n’est ni objectivement indispensable ni essentiel à l’exécution du contrat de transport, ajoutant que la communication avec le client peut se faire sans personnalisation basée sur le genre — des formules de politesse génériques et inclusives pouvant être utilisées — et précisant le fait que les usages sociétaux ne justifient pas en eux-même la nécessité d’un traitement.
L’indication de la civilité peut, en revanche, constituer un intérêt légitime — trains de nuit et wagons-couchettes réservés aux femmes — s’il est strictement nécessaire à la réalisation des finalités du traitement et que celles-ci ont été communiquées aux clients avant l’achat de billet.
La CJUE, dans cette affaire, clarifie l’articulation entre les dispositions spécifiques aux relations de travail prévues par l‘article 88 du RGPD et les principes généraux de la protection des données à caractère personnel.
La Cour souligne l’importance majeure d’un contrôle juridictionnel effectif et complet destiné à garantir aux salariés la protection la plus élevée lorsque des accords collectifs impliquant le traitement de données personnelles de salariés ont été négociés par les partenaires sociaux en violation des dispositions du RGPD portant notamment sur les principes généraux (article 5), les bases légales du traitement (article 6) et les restrictions spécifiques pour les catégories particulières de données sensibles.
Les dispositions légales nationales, ou résultant d’accords d’entreprises/conventions collectives, qui seraient jugées non conformes au RGPD doivent être par suite privées d’effet et d’application à la cause soumise à la juridiction. (article 9).
Le caractère “nécessaire” d’un traitement doit être rigoureusement justifié; les compromis économiques ou pratiques ne peuvent pas justifier un assouplissement des exigences légales.
Les employeurs doivent donc s’assurer que tout traitement de données personnelles dans le cadre des relations de travail respecte non seulement les règles nationales ou conventions collectives applicables, mais aussi toutes les dispositions pertinentes du RGPD; le recours à des solutions technologiques impliquant des transferts internationaux hors UE —- comme ce fût le cas en l’espèce avec la solution digitale Workday —- nécessite une attention particulière pour garantir leur conformité avec le RGPD.
CJUE 19 décembre 2024 | K GmbH | C-65/23
L’exception à l’obligation d’information de la personne concernée, prévue à l’article 14, paragraphe 5, sous c), s’applique de manière indistincte à toutes les données à caractère personnel non collectées directement auprès de la personne concernée, y compris, les données obtenues par le responsable auprès d’autres entités et les données générées par le responsable lui-même dans le cadre de ses missions.
La Cour motive sa position en interprétant la disposition au regard de l’économie générale du RGPD et de ses objectifs, à savoir garantir un haut niveau de protection des droits fondamentaux liés aux données personnelles. Elle considère que l’exception est applicable dès lors que le traitement est expressément prévu par une loi qui impose des obligations au responsable du traitement.
Elle décide que dans le cadre d’une réclamation fondée sur l’article 77, paragraphe 1, du RGPD, les autorités de contrôle sont compétentes pour vérifier si le droit national ou le droit de l’Union prévoyant l’exception à l’obligation d’information (article 14, paragraphe 5, sous c)) inclut des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, ajoutant que cette vérification ne constitue pas un examen de la validité des dispositions nationales, mais concerne uniquement l’applicabilité de l’exception dans une situation donnée.
La Cour exclut que cette vérification par l’autorité de contrôle porte sur l’adéquation des mesures de sécurité prévues à l’article 32 du RGPD. Ces obligations relatives à la sécurité des données sont distinctes de celles imposées au titre de l’article 14 et doivent être respectées indépendamment de l’exception invoquée.
CJUE 28 novembre 2024 | C- 169/23 | Másdi│
L’affaire C‐470/21 s’inscrit dans le contexte de la lutte contre les atteintes au droit d’auteur (et aux droits voisins) commises en ligne via des réseaux de partage type « peer-to-peer ». Conformément au droit positif français, la Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet (HADOPI) peut détecter des infractions via le relevé d’adresses IP sur les réseaux peer-to-peer, puis, identifier les titulaires des abonnements auprès des fournisseurs d’accès, et, à défaut de cessation de l’infraction après mise en demeure, saisir le procureur de la République.
La question litigieuse soumise à la CJUE porte sur la compatibilité avec la directive 2002/58/CE — Directive « e-privacy »— d’un décret permettant à la HADOPI d’accéder à l’identité civile d’un utilisateur correspondant à une adresse IP, sans soumission préalable à un juge .
La Cour a jugé, en substance, que même pour les données “d’identité civile” (c’est‐à‐dire le lien entre une adresse IP et l’identité de l’abonné), il s’agit bien d’une “ingérence dans la vie privée” relevant de la directive 2002/58, puisque l’adresse IP constitue l’une des « données relatives au trafic » au sens de la jurisprudence; par ailleurs, la CJUE ajoute qu’un contrôle préalable par une juridiction ou une entité administrative indépendante est exigé (sauf urgence dûment justifiée).
Autrement dit, l’identification d’un internaute via son adresse IP ne saurait être laissée au libre accès et à l’auto-contrôle d’un service sans supervision externe ou sans l’avis formel d’un organe indépendant; le fait que la donnée soit « moins sensible » (simple identité) ne fait pas disparaître l’obligation d’un contrôle effectif.
Bezirkshauptmannschaft Landeck | Police Justice | Tentative d’accès aux données d’un téléphone
L’accès et l’extraction des données stockées dans un smartphone saisi lors d’une perquisition, effectués par les services techniques de la police judiciaire, en l’absence de son propriétaire mis en cause qui avait refusé de communiquer son code de déverrouillage, relèvent de la Directive 2016/680 “Police Justice” (art. 3, 4, 8, 13, 15) et de la Charte Européenne des Droits Fondamentaux (art. 7, 8, 47).
Ces opérations doivent être strictement encadrées:
– Accès aux données: il doit être adéquat, pertinent et non excessif, en lien avec l’objet de l’enquête, et subordonné au contrôle et à l’autorisation préalable et spéciale d’un magistrat ayant pouvoir juridictionnel — ou d’une autorité administrative indépendante — afin de respecter le principe de proportionnalité, d’assurer une garantie d’impartialité et d’éviter toute violation injustifiée et abusive de la vie privée du mis en cause; une telle mesure pouvant, en effet, révéler des aspects très intimes de la vie privée.
– Droit à être informé : l’intéressé doit pouvoir exercer un recours effectif, et à cette fin, il doit être averti des mesures prises ou des opérations de lecture de ses données envisagées, ou déjà effectuées si l’autorité compétente avait décidé de différer la notification — sous peine de priver le recours de tout effet utile;
– Gravité de l’infraction et proportionnalité : il faudrait en outre exiger, de manière proportionnée, une gradation de l’ingérence qui doit s’avérer strictement nécessaire en fonction de la gravité de l’infraction poursuivie et de la sensibilité des données collectées.
CJUE 4 octobre 2024 | Bezirkshauptmannschaft Landeck | C-548/21
Lindenapotheke | Vente en ligne de médicaments & Consentement explicite
La vente en ligne de médicaments réservés aux pharmacies nécessite le consentement explicite du client sur le traitement de ses données.
La Cour considère que constituent des données concernant la santé au sens du RGPD les informations saisies par les clients (telles que leur nom, l’adresse de livraison et les éléments nécessaires à l’individualisation des médicaments) lors de la commande en ligne des médicaments réservés aux pharmacies, même lorsque la vente de ces derniers n’est pas soumise à prescription médicale ; ces données, en effet, sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, des informations sur l’état de santé d’une personne physique identifiée ou identifiable.
Par suite, le vendeur doit informer ces clients d’une manière exacte, complète et facilement compréhensible des caractéristiques et des finalités spécifiques du traitement desdites données et leur demander leur consentement explicite pour ce traitement.
Le RGPD ne s’oppose pas à ce qu’une règlementation nationale considère qu’une atteinte à la protection des données personnelles constitue une pratique concurrentielle déloyale susceptible de sanctions pour violation du RGPD devant des juridictions civiles.
CJUE 4 octobre 2024 | Lindenapotheke | C-21/23
Schrems v. Meta | Données off Facebook “Manifestement Rendues Publiques”
Meta collecte et traite aux fins de publicité ciblée des données à caractère personnel des utilisateurs de Facebook portant sur leurs activités « en dehors » de son réseau auprès de l’utilisateur lui-même ou auprès de tiers, pouvant provenir notamment de la consultation de pages de sites internet de tiers ou de l’utilisation d’applications mobiles du groupe Meta (WhatsApp, Instagram…) ou d’applications tierces (« données off Facebook »).
La CJUE juge que le principe de minimisation s’oppose à une conservation et à une utilisation de ces données sans limitation dans le temps et sans distinction en fonction de leur nature, dès lors que leurs collectes et traitements — particulièrement étendus et donc potentiellement illimités – s’apparentent à une surveillance quasi continue de la vie privée des utilisateurs et par là-même relèvent d’une ingérence grave dans leurs droits fondamentaux.
La Cour considère que « la circonstance » qu’un utilisateur « rende manifestement publiques » «certaines données sensibles» concernant son orientation sexuelle, n’autorise pas, « à elle seule» le traitement à des fins de publicité ciblée « d’autres données » se rapportant également à son orientation sexuelle mais collectées par ailleurs, dès lors qu’il ne les aura pas rendu publiques en toute connaissance de cause.
CJUE 4 octobre 2024 | Maximilian Schrems v. Meta Platforms aka Facebook | C-446/21
Un requérant (TR) a déposé une réclamation auprès de l’autorité de contrôle (le HBDI) après la consultation illicite de ses données bancaires par une employée de la Caisse d’épargne. Le HBDI a estimé qu’il n’y avait pas de risque élevé justifiant une notification à la personne concernée et qu’il n’était pas nécessaire de sanctionner la Caisse d’épargne. TR a contesté la décision, affirmant que l’autorité de contrôle devait impérativement intervenir et éventuellement infliger une amende à la banque.
La question principale était de savoir si l’autorité de contrôle est toujours tenue de prendre des mesures correctrices au titre de l’article 58(2) du RGPD lorsqu’elle constate une violation manifeste des droits de la personne concernée, ou dispose-t-elle d’une marge d’appréciation et d’opportunité? La CJUE a considéré que les Autorités de Contrôle de la Protection des Données ne sont pas soumises par le RGPD à l’obligation absolue de prononcer une sanction (amende, publicité de la décision…) alors même qu’elles auront relevé dans leur décision et sans contestation possible des violations de données importantes.
CJUE 26 Septembre 2024 | Land Hessen | C-768/21
La question principale posée à la CJUE portait sur l’interprétation de l’article 80, paragraphe 2, du RGPD, en lien avec la possibilité pour une association de défense des consommateurs (sans mandat direct d’une personne concernée) d’intenter une action représentative en invoquant une violation des droits prévus par le RGPD. Il s’agissait de savoir si cette action pouvait être fondée sur une violation de l’obligation d’information du responsable de traitement (articles 12 et 13 du RGPD). Plus précisément : une telle violation constitue-t-elle une “violation des droits d’une personne concernée du fait du traitement,” au sens de l’article 80, paragraphe 2, RGPD ?
La Cour a considéré que l’article 80, paragraphe 2, RGPD devait être interprété comme suit, à savoir, d’une part, qu’une entité habilitée (comme une association de consommateurs) peut introduire une action représentative en alléguant la violation d’une obligation d’information, même si cette violation a lieu avant le traitement effectif des données personnelles et d’autre part, qu’il suffisait que cette obligation d’information soit liée à un traitement et qu’au cas de non-respect, le traitement devienne potentiellement illicite.
CJUE Arrêt du 11 juillet 2024 │ 4ème Chambre│ C‑757/22 │
Contrefaçon & Accès à l’adresse IP par une autorité publique nationale e.g. HADOPI
Les États membres peuvent imposer aux fournisseurs d’accès à Internet une obligation de conservation généralisée et indifférenciée des adresses IP pour lutter contre les infractions pénales en général pour autant qu’une telle conservation ne permette pas de tirer des conclusions précises sur la vie privée de la personne concernée.
Les États membres peuvent alors, dans de telles conditions, autoriser une autorité nationale compétente chargée de la lutte contre les contrefaçons commises en ligne (e.g. HADOPI) à accéder aux données d’identité civile se rapportant auxdites adresses IP.
CJUE 30 avril 2024 | La Quadrature du Net e.a. | C-470/21
Vie privée & Poursuites d’infractions qualifiées de “graves”
La Cour de justice estime que l’obtention de relevés téléphoniques auprès d’un fournisseur de services de communications électroniques sur autorisation préalable d’un juge – habilité à en refuser ou à en restreindre l’accès – ne peut être accordée que si, d’une part, les personnes soupçonnées sont impliquées dans une infraction grave – telle que définie par les Etats Membres – et d’autre part, que l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par cet accès soit proportionnée et limitée.
CJUE 30 avril 2024 | Procura della Repubblica presso il Tribunale di Bolzano | C-178/22
Österreichische Post | Informations précises sur les destinataires de données personnelles |
Toute personne a le droit de savoir, le plus précisément possible, à qui ses données personnelles ont été communiquées.
” Lorsque les données à caractère personnel ont été ou seront communiquées à des destinataires, le responsable du traitement est obligé de fournir à la personne concernée, sur sa demande, l’identité même de ces destinataires. Ce n’est que lorsqu’il n’est pas (encore) possible d’identifier ces destinataires que celui-ci peut se limiter à indiquer uniquement les catégories de destinataires en cause. C’est également le cas lorsque le responsable démontre que la demande est manifestement infondée ou excessive.
La Cour souligne que ce droit d’accès de la personne concernée est nécessaire pour lui permettre d’exercer d’autres droits qui lui sont reconnus par le RGDP, à savoir le droit à la rectification, le droit à l’effacement (« droit à l’oubli »), le droit à la limitation du traitement, le droit d’opposition au traitement ou encore le droit de recours en cas de dommage subi”
CJUE 12 janvier 2023 | Österreichische Post | C-154/21