Le site La CJCE a rendu un arrêt le 1er août 2022 La Cour européenne des droits de l’homme (CEDH) a rendu un arrêt dans lequel elle soumet le traitement de données révélant des informations sensibles au régime strict des catégories particulières de données à caractère personnel (article 9 du RGPD), sur la base d’une décision d’un tribunal administratif lituanien.
Situation de départ
Afin d’éviter les conflits d’intérêts et de lutter contre la corruption, la législation lituanienne oblige notamment les directeurs d’organismes recevant des fonds publics à faire une “déclaration d’intérêts privés”. Un responsable d’un tel organisme a refusé de faire cette déclaration, notamment parce que la publication sur le site internet de la Commission compétente d’informations contenues dans la déclaration méconnaissait son droit au respect de la vie privée ainsi que celui des autres personnes qu’il aurait pu être amené à mentionner dans sa déclaration.
Base juridique du traitement
La première question, qui nous intéresse moins ici, concernait la base juridique de la publication sur le site web de l’autorité compétente, pour laquelle la CJCE a examiné les conditions de l’article 6, paragraphe 1, alinéa 1, lettre c, et paragraphe 3 du RGPD (respect d’une obligation légale) à la lumière des droits fondamentaux pertinents.
La publication en ligne prévue par la loi en question sert l’objectif d’intérêt public de prévention des conflits d’intérêts et de lutte contre la corruption dans le secteur public et est susceptible de contribuer à la réalisation des objectifs poursuivis. Toutefois, le caractère nécessaire du traitement des données fait défaut à de nombreux égards. Au regard du principe de minimisation des données, la publication nominative de données relatives au conjoint, au concubin ou au partenaire, ainsi qu’à des parents proches ou à d’autres personnes connues susceptibles de créer un conflit d’intérêts, va au-delà de ce qui est nécessaire. Des données génériques sur le conjoint, le partenaire ou le concubin, accompagnées des données correspondantes sur les intérêts, sont suffisantes.
La publication en ligne constitue une atteinte grave aux droits fondamentaux, car les données permettent de déduire des informations sur certains aspects sensibles de la vie privée des personnes concernées et la publication a pour conséquence que ces données sont librement accessibles sur Internet à un nombre potentiellement illimité de personnes, indépendamment de leurs motivations. Dans ce contexte, le RGPD s’oppose notamment à la publication en ligne de données nominatives relatives à d’autres personnes qui doivent, le cas échéant, être mentionnées dans la déclaration.
Traitement de catégories particulières de données à caractère personnel
Dans le cadre de la deuxième question préjudicielle, la CJCE devait juger si la publication en ligne de données susceptibles de révéler indirectement des informations sensibles était également soumise à l’interdiction de traitement fondamentale de l’article 9, paragraphe 1, du RGPD. En l’occurrence, il s’agissait de données nominatives concernant le conjoint, le partenaire ou le concubin, qui permettaient de déduire des informations sur la vie sexuelle ou l’orientation sexuelle de la personne soumise à l’obligation de déclaration et de son conjoint, partenaire ou concubin.
La CJCE a d’abord examiné le libellé de l’article 9, paragraphe 1, du RGPD (et de l’article 8, paragraphe 1, de la directive 95/46/CE) et a déclaré que :
[…] l’utilisation du verbe “ressortir” dans ces dispositions suggère qu’il s’agit d’un traitement portant non seulement sur des données sensibles par nature, mais aussi sur des données à partir desquelles des informations indirectement sensibles sont obtenues par le biais d’un raisonnement par déduction ou par recoupement, alors que les prépositions “à” et “sur” ou l’utilisation d’un composé semblent indiquer qu’il doit y avoir un lien plus direct entre le traitement et les données concernées, qui doivent être prises en compte dans leur nature intrinsèque.
Étant donné que le verbe “ressortir” se réfère uniquement à une partie des catégories particulières de données à caractère personnel et que les prépositions “à” et “sur” se réfèrent à une autre partie des catégories particulières de données à caractère personnel, une interprétation littérale aurait pour conséquence qu’une distinction devrait être opérée en fonction du type de données sensibles concernées. Or, cela ne serait pas conforme à une analyse systématique des dispositions, notamment au regard de l’article 4, point 15, du RGPD et du considérant 35 du RGPD, qui incluent dans les données relatives à la santé les données qui fournissent des informations sur l’état de santé.
En outre, la finalité du RGPD, qui est de garantir un niveau élevé de protection des droits et libertés fondamentaux de la personne concernée dans le cadre des traitements de données, plaide en faveur d’une interprétation large. En revanche, une interprétation restrictive irait à l’encontre de la finalité de l’article 9, paragraphe 1, du RGPD (également énoncée dans le CE 51), qui est de garantir une protection particulière à l’égard des traitements de données qui, en raison de la sensibilité particulière des données traitées, risquent de porter une atteinte particulièrement grave aux droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel.
Pour ces raisons, la publication en ligne de données à caractère personnel susceptibles de révéler indirectement l’orientation sexuelle constitue un traitement de catégories particulières de données à caractère personnel.
Notes
La question de savoir si la possibilité d’inférer des informations sensibles suffit à la qualification de catégorie particulière de données à caractère personnel ne fait pas l’unanimité dans la littérature. Néanmoins, l’arrêt de la CJUE ne surprend guère, après que celle-ci a volontiers souligné l’objectif du RGPD de garantir un niveau de protection élevé – un argument massue en faveur d’interprétations larges des dispositions de protection.
L’argument systématique selon lequel il n’y a pas lieu de faire de distinction entre les catégories particulières de données à caractère personnel n’est pas non plus totalement convaincant, d’autant plus que les dispositions citées (art. 4, ch. 15, RGPD et CE 35 RGPD) se rapportent exclusivement aux données relatives à la santé. La distinction entre les données pour lesquelles l’émergence d’informations sensibles est suffisante et les autres données est clairement établie dans le libellé de l’article 9, paragraphe 1 du RGPD. Dans ses explications sur la finalité de l’article 9, paragraphe 1, RGPD, la CJCE ne tient pas compte du fait que l’article CE 51 RGPD qu’elle cite parle de données à caractère personnel qui de par leur nature sont particulièrement sensibles en ce qui concerne les droits et libertés fondamentaux. Comme le pense une partie de la doctrine, il ne faudrait pas tenir compte des conclusions possibles en conséquence.
On peut se demander dans quelle mesure ce jugement peut être généralisé. D’une part, les informations sensibles sur l’orientation sexuelle pouvaient être facilement déduites dans le cas présent et, d’autre part, il s’agissait d’une publication de données dont l’utilisation ultérieure ne peut naturellement pas être contrôlée. Il semble donc concevable que la CJCE ne considère pas les déductions possibles comme suffisantes dans un autre contexte. Cela correspondrait également à l’avis exprimé à plusieurs reprises dans la doctrine, selon lequel il faut également tenir compte du contexte de traitement et de l’intention du responsable lors de la qualification de la catégorie particulière de données à caractère personnel.
Pour le droit suisse, la même question se pose pour les données personnelles sensibles. Comme le libellé de l’art. 3, let. c, LPD – contrairement à l’art. 9, al. 1, RGPD (“ressortir”) – ne contient aucune indication selon laquelle les déductions possibles sont également suffisantes, on peut se demander si cela est suffisant en droit suisse. Dans le rapport final concernant Postfinance (nous en avons parlé), le PFPDT a tenu compte de la possibilité d’évaluation, mais a nié l’existence de données personnelles sensibles en raison du contexte de traitement, car PostFinance n’évaluait pas les données (en relation avec le cockpit électronique) à des fins propres ou étrangères. La pratique part en effet du principe que les déductions possibles ne suffisent pas, en tout cas pas sans tenir compte du contexte de traitement concret.