• Accueil 
  • -
  • Pro­tec­tion des données 
  • -
  • CJCE C‑184/20 : Trai­te­ment de caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel, même en cas d’in­fé­ren­ces pos­si­bles sur des infor­ma­ti­ons sensibles 

CJCE C‑184/20 : Trai­te­ment de caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel, même en cas d’in­fé­ren­ces pos­si­bles sur des infor­ma­ti­ons sensibles

Le site La CJCE a ren­du un arrêt le 1er août 2022 La Cour euro­pé­en­ne des droits de l’hom­me (CEDH) a ren­du un arrêt dans lequel elle sou­met le trai­te­ment de don­nées révé­lant des infor­ma­ti­ons sen­si­bles au régime strict des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel (artic­le 9 du RGPD), sur la base d’u­ne décis­i­on d’un tri­bu­nal admi­ni­stra­tif lituanien.

Situa­ti­on de départ

Afin d’é­vi­ter les con­flits d’in­té­rêts et de lut­ter cont­re la cor­rup­ti­on, la légis­la­ti­on litua­ni­en­ne obli­ge notam­ment les direc­teurs d’or­ga­nis­mes rece­vant des fonds publics à fai­re une “décla­ra­ti­on d’in­té­rêts pri­vés”. Un responsable d’un tel orga­nis­me a refusé de fai­re cet­te décla­ra­ti­on, notam­ment par­ce que la publi­ca­ti­on sur le site inter­net de la Com­mis­si­on com­pé­ten­te d’in­for­ma­ti­ons con­te­nues dans la décla­ra­ti­on mécon­nais­sait son droit au respect de la vie pri­vée ain­si que celui des aut­res per­son­nes qu’il aurait pu être amené à men­ti­on­ner dans sa déclaration.

Base juri­di­que du traitement

La pre­miè­re que­sti­on, qui nous inté­res­se moins ici, con­cer­nait la base juri­di­que de la publi­ca­ti­on sur le site web de l’au­to­ri­té com­pé­ten­te, pour laquel­le la CJCE a exami­né les con­di­ti­ons de l’ar­tic­le 6, para­gra­phe 1, ali­néa 1, lett­re c, et para­gra­phe 3 du RGPD (respect d’u­ne obli­ga­ti­on léga­le) à la lumiè­re des droits fon­da­men­taux pertinents.

La publi­ca­ti­on en ligne pré­vue par la loi en que­sti­on sert l’ob­jec­tif d’in­té­rêt public de pré­ven­ti­on des con­flits d’in­té­rêts et de lut­te cont­re la cor­rup­ti­on dans le sec­teur public et est sus­cep­ti­ble de con­tri­buer à la réa­li­sa­ti­on des objec­tifs pour­suivis. Tou­te­fois, le carac­tère néces­saire du trai­te­ment des don­nées fait défaut à de nombreux égards. Au regard du prin­ci­pe de mini­mi­sa­ti­on des don­nées, la publi­ca­ti­on nomi­na­ti­ve de don­nées rela­ti­ves au con­joint, au con­cu­bin ou au par­ten­aire, ain­si qu’à des par­ents pro­ches ou à d’aut­res per­son­nes con­nues sus­cep­ti­bles de cré­er un con­flit d’in­té­rêts, va au-delà de ce qui est néces­saire. Des don­nées géné­ri­ques sur le con­joint, le par­ten­aire ou le con­cu­bin, accom­pa­gnées des don­nées cor­re­spond­an­tes sur les inté­rêts, sont suffisantes.

La publi­ca­ti­on en ligne con­sti­tue une att­ein­te gra­ve aux droits fon­da­men­taux, car les don­nées per­met­tent de dédui­re des infor­ma­ti­ons sur cer­ta­ins aspects sen­si­bles de la vie pri­vée des per­son­nes con­cer­nées et la publi­ca­ti­on a pour con­sé­quence que ces don­nées sont libre­ment acce­s­si­bles sur Inter­net à un nombre poten­ti­el­le­ment illi­mi­té de per­son­nes, indé­pen­dam­ment de leurs moti­va­tions. Dans ce con­tex­te, le RGPD s’op­po­se notam­ment à la publi­ca­ti­on en ligne de don­nées nomi­na­ti­ves rela­ti­ves à d’aut­res per­son­nes qui doi­vent, le cas échéant, être men­ti­onnées dans la déclaration.

Trai­te­ment de caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère personnel

Dans le cad­re de la deu­xiè­me que­sti­on pré­ju­di­ciel­le, la CJCE devait juger si la publi­ca­ti­on en ligne de don­nées sus­cep­ti­bles de révé­ler indi­rec­te­ment des infor­ma­ti­ons sen­si­bles était éga­le­ment sou­mi­se à l’in­ter­dic­tion de trai­te­ment fon­da­men­ta­le de l’ar­tic­le 9, para­gra­phe 1, du RGPD. En l’oc­cur­rence, il s’a­gis­sait de don­nées nomi­na­ti­ves con­cer­nant le con­joint, le par­ten­aire ou le con­cu­bin, qui per­met­tai­ent de dédui­re des infor­ma­ti­ons sur la vie sexu­el­le ou l’o­ri­en­ta­ti­on sexu­el­le de la per­son­ne sou­mi­se à l’ob­li­ga­ti­on de décla­ra­ti­on et de son con­joint, par­ten­aire ou concubin.

La CJCE a d’a­bord exami­né le libel­lé de l’ar­tic­le 9, para­gra­phe 1, du RGPD (et de l’ar­tic­le 8, para­gra­phe 1, de la direc­ti­ve 95/46/CE) et a décla­ré que :

[…] l’uti­li­sa­ti­on du ver­be “res­sor­tir” dans ces dis­po­si­ti­ons sug­gè­re qu’il s’a­git d’un trai­te­ment portant non seu­le­ment sur des don­nées sen­si­bles par natu­re, mais aus­si sur des don­nées à par­tir des­quel­les des infor­ma­ti­ons indi­rec­te­ment sen­si­bles sont obte­nues par le biais d’un rai­son­ne­ment par déduc­tion ou par recou­pe­ment, alors que les pré­po­si­ti­ons “à” et “sur” ou l’uti­li­sa­ti­on d’un com­po­sé sem­blent indi­quer qu’il doit y avoir un lien plus direct ent­re le trai­te­ment et les don­nées con­cer­nées, qui doi­vent être pri­ses en comp­te dans leur natu­re intrinsèque.

Étant don­né que le ver­be “res­sor­tir” se réfè­re uni­quement à une par­tie des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel et que les pré­po­si­ti­ons “à” et “sur” se réfè­rent à une aut­re par­tie des caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel, une inter­pré­ta­ti­on lit­té­ra­le aurait pour con­sé­quence qu’u­ne distinc­tion dev­rait être opé­rée en fonc­tion du type de don­nées sen­si­bles con­cer­nées. Or, cela ne serait pas con­for­me à une ana­ly­se sys­té­ma­tique des dis­po­si­ti­ons, notam­ment au regard de l’ar­tic­le 4, point 15, du RGPD et du con­sidé­rant 35 du RGPD, qui inclu­ent dans les don­nées rela­ti­ves à la san­té les don­nées qui four­nis­sent des infor­ma­ti­ons sur l’é­tat de santé.

En out­re, la fina­li­té du RGPD, qui est de garan­tir un niveau éle­vé de pro­tec­tion des droits et liber­tés fon­da­men­taux de la per­son­ne con­cer­née dans le cad­re des trai­te­ments de don­nées, plai­de en faveur d’u­ne inter­pré­ta­ti­on lar­ge. En revan­che, une inter­pré­ta­ti­on rest­ric­ti­ve irait à l’en­cont­re de la fina­li­té de l’ar­tic­le 9, para­gra­phe 1, du RGPD (éga­le­ment énon­cée dans le CE 51), qui est de garan­tir une pro­tec­tion par­ti­cu­liè­re à l’é­gard des trai­te­ments de don­nées qui, en rai­son de la sen­si­bi­li­té par­ti­cu­liè­re des don­nées trai­tées, ris­quent de por­ter une att­ein­te par­ti­cu­liè­re­ment gra­ve aux droits fon­da­men­taux au respect de la vie pri­vée et à la pro­tec­tion des don­nées à carac­tère personnel.

Pour ces rai­sons, la publi­ca­ti­on en ligne de don­nées à carac­tère per­son­nel sus­cep­ti­bles de révé­ler indi­rec­te­ment l’o­ri­en­ta­ti­on sexu­el­le con­sti­tue un trai­te­ment de caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère personnel.

Notes

La que­sti­on de savoir si la pos­si­bi­li­té d’in­fé­rer des infor­ma­ti­ons sen­si­bles suf­fit à la qua­li­fi­ca­ti­on de caté­go­rie par­ti­cu­liè­re de don­nées à carac­tère per­son­nel ne fait pas l’un­ani­mi­té dans la lit­té­ra­tu­re. Néan­mo­ins, l’ar­rêt de la CJUE ne sur­prend guè­re, après que cel­le-ci a volon­tiers souli­g­né l’ob­jec­tif du RGPD de garan­tir un niveau de pro­tec­tion éle­vé – un argu­ment mass­ue en faveur d’in­ter­pré­ta­ti­ons lar­ges des dis­po­si­ti­ons de protection.

L’ar­gu­ment sys­té­ma­tique selon lequel il n’y a pas lieu de fai­re de distinc­tion ent­re les caté­go­ries par­ti­cu­liè­res de don­nées à carac­tère per­son­nel n’est pas non plus tota­le­ment con­vain­cant, d’autant plus que les dis­po­si­ti­ons citées (art. 4, ch. 15, RGPD et CE 35 RGPD) se rap­portent exclu­si­ve­ment aux don­nées rela­ti­ves à la san­té. La distinc­tion ent­re les don­nées pour les­quel­les l’é­mer­gence d’in­for­ma­ti­ons sen­si­bles est suf­fi­san­te et les aut­res don­nées est clai­re­ment éta­b­lie dans le libel­lé de l’ar­tic­le 9, para­gra­phe 1 du RGPD. Dans ses expli­ca­ti­ons sur la fina­li­té de l’ar­tic­le 9, para­gra­phe 1, RGPD, la CJCE ne tient pas comp­te du fait que l’ar­tic­le CE 51 RGPD qu’el­le cite par­le de don­nées à carac­tère per­son­nel qui de par leur natu­re sont par­ti­cu­liè­re­ment sen­si­bles en ce qui con­cer­ne les droits et liber­tés fon­da­men­taux. Com­me le pen­se une par­tie de la doc­tri­ne, il ne fau­drait pas tenir comp­te des con­clu­si­ons pos­si­bles en conséquence.

On peut se deman­der dans quel­le mesu­re ce juge­ment peut être géné­ra­li­sé. D’u­ne part, les infor­ma­ti­ons sen­si­bles sur l’o­ri­en­ta­ti­on sexu­el­le pou­vai­ent être faci­le­ment dédui­tes dans le cas pré­sent et, d’aut­re part, il s’a­gis­sait d’u­ne publi­ca­ti­on de don­nées dont l’uti­li­sa­ti­on ulté­ri­eu­re ne peut natu­rel­le­ment pas être con­trôlée. Il sem­ble donc conce­va­ble que la CJCE ne con­sidè­re pas les déduc­tions pos­si­bles com­me suf­fi­san­tes dans un aut­re con­tex­te. Cela cor­re­spon­drait éga­le­ment à l’a­vis expri­mé à plu­sieurs repri­ses dans la doc­tri­ne, selon lequel il faut éga­le­ment tenir comp­te du con­tex­te de trai­te­ment et de l’in­ten­ti­on du responsable lors de la qua­li­fi­ca­ti­on de la caté­go­rie par­ti­cu­liè­re de don­nées à carac­tère personnel.

Pour le droit sui­s­se, la même que­sti­on se pose pour les don­nées per­son­nel­les sen­si­bles. Com­me le libel­lé de l’art. 3, let. c, LPD – con­trai­re­ment à l’art. 9, al. 1, RGPD (“res­sor­tir”) – ne con­ti­ent aucu­ne indi­ca­ti­on selon laquel­le les déduc­tions pos­si­bles sont éga­le­ment suf­fi­san­tes, on peut se deman­der si cela est suf­fi­sant en droit sui­s­se. Dans le rap­port final con­cer­nant Post­fi­nan­ce (nous en avons par­lé), le PFPDT a tenu comp­te de la pos­si­bi­li­té d’éva­lua­ti­on, mais a nié l’e­xi­stence de don­nées per­son­nel­les sen­si­bles en rai­son du con­tex­te de trai­te­ment, car Post­Fi­nan­ce n’éva­luait pas les don­nées (en rela­ti­on avec le cock­pit élec­tro­ni­que) à des fins pro­pres ou étran­gè­res. La pra­tique part en effet du prin­ci­pe que les déduc­tions pos­si­bles ne suf­fi­sent pas, en tout cas pas sans tenir comp­te du con­tex­te de trai­te­ment concret.