- Le tribunal régional supérieur de Munich qualifie de données à caractère personnel, conformément à l’article 4, point 1, du RGPD, les lettres, courriels, notes téléphoniques, notes de dossier et procès-verbaux se rapportant à la plaignante.
- L’article 15, paragraphe 3 du RGPD accorde un droit autonome à la remise de copies sous la forme sous laquelle les informations sont disponibles chez le responsable ; noircissement possible selon l’article 15, paragraphe 4 du RGPD.
- Critique : le tribunal applique la notion de “données personnelles” de manière trop large ; seules les parties concrètes d’un document qui contiennent des informations personnelles ont besoin d’être protégées.
Dans un jugement rendu le 4 octobre 2021, la Cour d’appel de Munich (Affaire 3 U 2906/20) a adopté une ligne dure. Il s’agissait d’une demande d’accès au sens de l’article 15 du RGPD – y compris la remise de copies – dans le contexte d’un litige de créance de droit civil. Le demandeur avait Copies, entre autres, de notes téléphoniques, de notes de dossier, de procès-verbaux, d’e-mails, etc. a été demandée. La défenderesse a certes fourni des informations, mais n’a pas remis de copies au plaignant. Le LG München I avait accueilli la plainte correspondante. L’OLG de Munich rejette l’appel.
Le cœur de l’arrêt est la déclaration suivante de la Cour d’appel de Munich :
[…] Selon l’article 4, point 1, du RGPD, les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable. […] Cette dernière condition est remplie si l’information est liée à une personne spécifique en raison de son contenu, de sa finalité ou de ses effets (BGH NJW 2021, 2726 avec d’autres références). En ce qui concerne les données se trouvant chez les défendeurs, il est possible d’établir un lien avec la plaignante à partir de l’objet ou de l’interlocuteur. Les lettres et courriels adressés par la requérante aux défenderesses doivent en principe être considérés dans leur intégralité comme des données à caractère personnel au sens de l’article 4, point 1, du RGPD.. […] les notes téléphoniques, les notes de dossier et les procès-verbaux, en tant que notes internes aux défendeurs, qui contiennent des informations sur la requérante, doivent également être classées comme données à caractère personnel. Ici, les défendeurs retiennent ce que la demanderesse a exprimé par téléphone ou lors d’entretiens personnels (voir seulement BGH NJW 2021, 2726 Rn. 25).
Après cette introduction, l’OLG examine le Droit à la copie. L’OLG suit ici l’avis selon lequel le droit à des copies selon l’article 15, paragraphe 3 du RGPD est indépendant du droit à l’information selon l’article 15, paragraphe 1 du RGPD et confère un droit de remise autonome :
4) L’objet de ce droit ne s’oriente pas simplement vers une énumération abstraite des informations disponibles, car il est déjà contenu dans le droit d’accès selon l’article 15, paragraphe 1 du RGPD. Le créancier a plutôt besoin d’un Droit à la communication des informations telles qu’elles sont détenues par le responsable du traitement […]. Une protection nécessaire du débiteur est assurée par la possibilité de caviardage prévue à l’article 15, paragraphe 4, du RGPD.
L’application très large de la notion de données personnelles donne certainement lieu à des critiques. Si chaque document contenant une donnée personnelle constitue dans son ensemble une donnée personnelle, chaque annuaire téléphonique constitue également dans son ensemble une donnée personnelle pour chaque titulaire de raccordement. Ce n’est évidemment pas le cas. Le tribunal aurait plutôt dû examiner, pour chaque partie des documents pertinents, si cette partie répondait encore à la notion de données personnelles, en fonction des critères mentionnés par l’OLG lui-même (contenu, objectif ou conséquences de l’information ; expliqués plus en détail par le groupe de travail “Article 29” de l’époque dans la Avis 4/2007 sur la notion de “données à caractère personnel). Dans un document, seules les informations qui se rapportent directement à la personne concernée, qui ont pour but de faire une déclaration sur la personne concernée ou qui, en raison du contenu des informations, sont susceptibles d’avoir un effet pertinent sur la personne concernée, constituent donc des données personnelles. Ce n’est que dans cette mesure que les questions de caviardage se posent.
C’est en fait une évidence : le droit de la protection des données se réfère aux données personnelles, c’est-à-dire aux informations personnelles sous forme matérialisée, et non aux documents. Considérer le droit d’accès comme un droit de consultation des dossiers est donc une erreur conceptuelle.