- CJUE : après le retrait du consentement, le responsable du traitement doit informer tous les destinataires et les services de transmission de l’effacement, sauf si cela s’avère impossible ou disproportionné.
- Les articles 19 et 24 du RGPD obligent les responsables à prendre des mesures techniques et organisationnelles pour garantir la légalité et la preuve du traitement.
- Cette jurisprudence de la CJCE s’applique au-delà des annuaires téléphoniques, mais ne peut pas être transposée directement à la LPD suisse.
La CJCE s’est prononcée le 27 octobre 2022 dans son Arrêt C‑129/21 dans l’affaire Proximus s’est penché sur la question de savoir si un maillon d’une chaîne de traitement ou de transfert doit informer les autres maillons avant et après lui d’un effacement :
L’objet était un annuaire téléphonique (répertoire d’abonnés). Le fournisseur du plaignant, Telenet, avait transmis des données d’annuaire, entre autres, à Proximus, un autre fournisseur belge.
Les deux premières questions soumises peuvent être brièvement résumées :
- La CJCE constate tout d’abord que l’art. 12, al. 2 de la Directive e‑Privacy 2002 un Consentement requis pour figurer dans les annuaires d’abonnésLa Cour européenne des droits de l’homme (CEDH) a estimé que ce consentement n’était pas limité à un fournisseur particulier – le consentement initial permet donc de communiquer les données de l’annuaire à un autre fournisseur, à condition que le but du traitement ne soit pas élargi (comme cela a déjà été le cas dans l’arrêt Deutsche-Telekom), Affaire C‑543/09 de la CJUE du 5.5.2011). Le consentement initial doit alors satisfaire aux exigences du RGPD.
- Si un abonné demande que ses données personnelles soient retirées des annuaires d’abonnés, les fournisseurs doivent alors s’exécuter – c’est un exercice du ” droit à l’oubli “.Droit à l’effacement” au sens de l’article 17 du RGPD.
La troisième question préjudicielle est plus explosive. Il s’agissait de savoir si un fournisseur d’annuaire devait informer d’autres fournisseurs en cas de suppression, compte tenu de la chaîne de transmission :
Ce fournisseur peut à son tour transmettre les données, sur la base du même consentement, à d’autres fournisseurs d’annuaires d’abonnés, créant ainsi une chaîne de responsables de traitement qui traitent les données les uns après les autres, indépendamment les uns des autres, sur la base du même consentement.
La question était ici plus précisément de savoir si un fournisseur situé au milieu, à l’égard duquel le retrait du consentement a été déclaré, doit également informer les maillons de la chaîne situés en amont et en aval :
[…] si, lorsqu’un abonné d’un fournisseur de services téléphoniques retire son consentement à figurer dans les annuaires de ce fournisseur, un fournisseur d’annuaires d’abonnés tel que Proximus doit non seulement mettre à jour sa propre base de données, […] mais également informer de ce retrait le fournisseur de services téléphoniques qui lui a transmis les données en question, ainsi que les autres fournisseurs d’annuaires d’abonnés auxquels il a lui-même transmis des données.
La CJCE répond par l’affirmative à cette question en se fondant sur les considérations suivantes :
- Après le retrait du consentement, la poursuite du traitement serait illégale au sens du RGPD (absence de base juridique).
- Le responsable du traitement doit être en mesure de prouver la licéité de son traitement conformément à l’article 5 du RGPD. Conformément à l’article 24 du RGPD, il doit en outre mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir la licéité et sa preuve.
- Plus concrètement, l’article 19 du RGPD prévoit que le responsable communique tout effacement à tous les destinataires auxquels des données à caractère personnel ont été divulguées, à moins que cela ne soit impossible ou disproportionné.
La CJCE en tire la conclusion suivante :
85 Afin de garantir l’effectivité du droit de retrait du consentement prévu à l’article 7, paragraphe 3, du RGPD et de s’assurer que le consentement de la personne concernée est strictement lié à la finalité pour laquelle il a été donné, le responsable du traitement à l’égard duquel la personne concernée a retiré son consentement au traitement de ses données à caractère personnel doit, conformément aux observations pertinentes de la Commission, en effet est tenu d’informer de cette révocation toute personne qui lui a transmis ces données ainsi que la personne à laquelle il a lui-même transmis ces données. Les responsables informés en conséquence sont est alors tenu de son côtéLes personnes concernées sont tenues de transmettre ces informations aux autres responsables du traitement auxquels elles ont communiqué ces données.
En ce qui concerne la quatrième question préjudicielle, la CJUE constate en outre que le responsable doit même Fournisseur de moteurs de recherche – qui sont leurs propres responsables :
96 Dans des circonstances telles que celles de l’affaire au principal, il y a donc lieu de considérer qu’un responsable du traitement tel que Proximus doit, en vertu de l’article 17, paragraphe 2, du RGPD de prendre des mesures raisonnables pour informer les fournisseurs de moteurs de recherche de la demande qu’il a reçue de l’abonné d’un fournisseur de services téléphoniques visant à obtenir la suppression de ses données à caractère personnel. Toutefois, comme l’a indiqué l’avocat général au point 76 de ses conclusions, l’article 17, paragraphe 2, du RGPD prévoit que l’appréciation du caractère adéquat des mesures prises par le fournisseur d’annuaires d’abonnés doit tenir compte de la technologie disponible et des coûts de mise en œuvre, cette appréciation incombant en premier lieu à l’autorité compétente et étant soumise à un contrôle juridictionnel.
Ces considérations de la CJUE ne se limitent pas aux annuaires d’abonnés. Il faut donc partir du principe que la CJUE prendrait en principe la même décision dans d’autres chaînes de traitement, c’est-à-dire que le retrait d’un consentement devrait être communiqué de manière générale aux maillons situés en amont et en aval. Ceci en fin de compte en tant qu’élément du système de conformité que le responsable doit mettre en œuvre, notamment en vertu de l’article 24 du RGPD.
Cela ne s’applique toutefois pas à la Suisse et à la LPD.:
- Sur le site Projet de révision de l’OLPD prévoyait encore que le responsable devait informer les destinataires des données “sans délai de la rectification, de l’effacement ou de la destruction ainsi que de la limitation du traitement des données personnelles” (à l’époque, art. 16 ; critique à ce sujet ici). C’est à juste titre que cette disposition n’a pas été reprise dans le DSV. Il serait donc incompatible avec la volonté du législateur de distiller de telles obligations à partir de principes généraux. La Suisse ne connaît pas non plus l’obligation de rendre des comptes telle que la CJUE l’établit ici.
- Le principe du privacy by design s’applique donc également à la LPD, mais il n’impose pas d’obligations matérielles supplémentaires, il exige seulement que les obligations existantes soient garanties de manière proactive (c’est-à-dire qu’il empêche le responsable du traitement d’invoquer l’impossibilité de remplir une obligation particulière en matière de protection des données en raison de la conception du système).