Le GDPR
Les différentes hypothèses de licéité des traitements prévues par la Directive sont reprises et parfois précisées par l’article 6 du Règlement ou certains de ses considérants.
Ainsi, le consentement doit porter sur une ou plusieurs finalités spécifiques, ce qui exclut toute finalité exprimée de manière générale. Il convient également de se rappeler que le consentement est défini à l’article 4.11. comme visant toute manifestation de volonté, libre, spécifique et informée.
Ces caractéristiques donnent lieu à des précisions et sont exemplifiées aux considérants 42 et suivants, ainsi qu’à l’article 7 du Règlement. Dans ces considérants, une attention particulière est portée sur le caractère libre du consentement qui devrait être exclu si la personne concernée ne dispose pas d'une véritable liberté de choix et n'est pas en mesure de refuser ou de se rétracter sans subir de préjudice. Il ne peut non plus constituer un fondement juridique valable lorsqu'il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement et que ce déséquilibre fait douter que le consentement ait été donné librement dans tous les cas de figure de cette situation particulière.
Le considérant 47 apporte des précisions concernant la prise en compte de l’intérêt légitime du responsable du traitement dans son opposition aux droits et libertés de la personne concernée. Un intérêt légitime pourrait notamment exister lorsqu'il y a un lien pertinent et approprié entre la personne concernée et le responsable du traitement, par exemple si la personne concernée est cliente de celui-ci ou si elle est à son service. En tout état de cause, la personne concernée doit pouvoir s'attendre, au moment et dans le cadre de la collecte des données, à ce que celles-ci fassent l'objet d'un traitement à cette fin.
À noter que la dernière version du Règlement exclut le critère des intérêts légitimes du responsable (art. 6, f)) pour les traitements effectués par les autorités publiques dans l'exécution de leurs missions, imposant un retour à une stricte légalité du traitement en cause.
Toujours d’après le considérant 47, la personne concernée devrait pouvoir s'opposer au traitement des données la concernant, pour des raisons tenant à sa situation personnelle, et ce, gratuitement. Afin d'assurer la transparence, le responsable du traitement devrait être tenu d'informer expressément la personne concernée des intérêts légitimes poursuivis, et de justifier ces derniers, ainsi que du droit de la personne de s'opposer au traitement.
Le Règlement apporte aussi une précision importante concernant les traitements qui trouvent leur justification dans une loi qui impose leur poursuite dans les cas visés à l’article 6, paragraphe 1er, point c) (traitement nécessaire au respect d’une obligation légale) et à l’article 6, paragraphe 1er, point e) (traitement nécessaire à l’exécution d’une mission de service public). Dans ces deux cas, la base légale du traitement doit être définie conformément au droit de l'Union ou à la législation nationale de l'État membre à laquelle le responsable du traitement des données est soumis (cfr. art. 6, paragraphe 3).
Contrevenant à l’idée même du Règlement unificateur des règles en la matière, le 3e paragraphe sous b) de l’article 6 prévoit explicitement que ladite base juridique peut contenir des dispositions spécifiques permettant d'adapter l'application des règles prévues dans le Règlement (par exemple, les conditions générales de licéité du traitement, les catégories de données qui font l'objet du traitement, les entités auxquelles les données peuvent être communiquées et les finalités pour lesquelles elles peuvent l'être, la limitation des finalités, etc.). La version finale du Règlement précise que le droit de l’Union ou des États membres doit rencontrer l’objectif d’intérêt public et être proportionné aux intérêts légitimes poursuivis.
La disposition finale n’ouvre plus les conditions dans lesquelles un changement de finalité peut intervenir, au cas où cette dernière serait incompatible avec la finalité initiale. L’évolution du texte témoigne d’un véritable débat : le texte initial ne contenait aucune règle alors que la seconde version introduisait un paragraphe spécifique (§4). Si les données étaient collectées par le même responsable du traitement, le traitement ultérieur aurait été permis malgré l’incompatibilité des finalités, pour autant que l’on ait pu justifier celui-ci par une des hypothèses générales de licéité prévue au §1er de la disposition. En d’autres termes, le responsable aurait toujours pu remédier à une incompatibilité entre la finalité initiale et les finalités ultérieures du traitement en identifiant une nouvelle base de licéité du traitement.
La dernière version du Règlement a purement et simplement enlevé ce paragraphe. Le Groupe Article 29 avait fortement critiqué cette disposition qui mettrait à mal et viderait de sa substance le principe de finalité (cfr. G29, Opinion 03/2013 on purpose limitation, 2 avril 2013, p. 36 et 37).
Le principe de base est donc celui de l’exigence de la compatibilité des finalités nouvelles avec les finalités initiales, sauf consentement de la personne concernée ou lorsqu'un texte légal spécifique le permet sur les mêmes raisons que celles justifiant une limitation des droits et obligations prévues par le Règlement (cfr article 23 (1). En cas d’incompatibilité, la poursuite de la finalité incompatible est prescrite.
Le texte du Règlement (art. 6, § 4) prévoit cependant certains critères permettant d’apprécier cette compatibilité. Par exemple, l'existence éventuelle d'un lien entre les finalités pour lesquelles les données ont été collectées et les finalités du traitement ultérieur envisagé, la nature des données à caractère personnel qui seront traitées ou les conséquences possibles du traitement ultérieur envisagé pour les personnes concernées, ou encore l’existence de mesures de sauvegardes appropriées, ce qui peut inclure encryptage et pseudonymisation.
Enfin, la version définitive du Règlement introduit un nouveau paragraphe 3 utorisant les États membres à adapter les dispositions du Règlement en vue de la conformité du traitement avec l’article 6, paragraphe 1er, sous c) (obligation légale) et e) (mission d’intérêt public), en déterminant plus précisément les obligations pour le traitement et d’autres mesures pour en garantir la légalité et la licéité, également en ce qui concerne les situations particulières de traitement visées au chapitre IV.
La Directive
L’article 7 de la Directive prévoyait qu’un traitement de données ne peut être effectué que s’il rencontrait une des hypothèses prévues par la disposition :
- le consentement indubitable de la personne concernée (consentement) ;
- sa nécessité en vue de l’exécution du contrat conclu avec la personne concernée (contrat) ou
- sa nécessité en vue du respect d’une obligation légale auquel est soumis le responsable du traitement (obligation légale) ou
- sa nécessité en vue de la sauvegarde de l'intérêt vital de la personne concernée (intérêt vital) ou
- sa nécessité en vue de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique (mission d’intérêt public), dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées faisaient partie de ces hypothèses.
Une dernière hypothèse, la recherche d’un équilibre d’intérêts, impose une évaluation plus difficile en pratique. Le traitement doit être nécessaire à la réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée (intérêt légitime).
Belgique
L’article 5 de la loi du 8 décembre 1992 a mis en place le régime de la licéité du traitement dans des termes identiques à ceux de l’article 7 de la Directive : consentement, nécessité contractuelle, obligation légale, intérêt vital, mission d’intérêt public et intérêts légitimes du responsable. Cette disposition habilite le Roi à déterminer par arrêté royal des cas où le recours au critère des intérêts légitimes pour traiter des données à caractère personnel est interdit. Cette disposition n’a fait l’objet d’aucune mesure d’exécution.
Difficultés probables ?
Les précisions apportées par le Règlement viennent souvent entériner des interprétations des anciens textes prônées par les Commissions nationales et le Groupe Article 29.
La possibilité laissée aux États d’adapter les règles applicables aux traitements imposés par une loi nationale est par contre plus problématique. Elle est significative de la volonté des États de conserver une part de leur souveraineté dès lors qu’il s’agit d’une relation entre l’État ou un de ses entités et le responsable du traitement/citoyen. Aussi compréhensible qu’elle soit, cette possibilité de continuer à réglementer un grand nombre de traitements sur une base spécifique et nationale ouvre une brèche importante dans l’acquis censé apporté par le Règlement : l’unification des règles au niveau européen.
La plus grande déception vient du refus d’assouplissement du principe de compatibilité des finalités. L’interdiction de traitement en cas d’incompatibilité des finalités s’oppose à l’évolution d’un traitement de données qui est en quelque sorte « figé » par sa finalité réelle de départ. Si des données ont été traitées pour les besoins d’exécution d’un contrat, elles ne peuvent être traitées pour une communication à un tiers en vie d’alimenter un processus de profilage big data, sauf consentement de la personne ou autorisation légale.
Soyons clairs : il n’aurait pu s’agir de l’admettre sans garanties, mais la personne concernée aurait été parfaitement protégé si on était parti du principe –comme la seconde version du texte le précisait- que la seconde finalité générait un nouveau traitement qui devait être soumis au respect de l’intégralité des dispositions de la loi (nouvelle information des personnes, identification d’un nouveau critère de licéité, etc.).
La solution du Règlement est autre : on ne peut pas modifier une finalité sans consentement préalable de la personne. En pratique –on pense par exemple aux projets Big Data- cette règle stricte risque de rendre illicites de très nombreux projets. Sans compter les services de fournitures de données, notamment dans le marketing, qui ne disposent souvent pas du consentement antérieur des personnes concernées.
Groupe 29
Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 (6 février 2018)
(Approuvées par le CEPD)
Le règlement général sur la protection des données (RGPD) traite spécifiquement du profilage et de la prise de décision individuelle automatisée, y compris le profilage.
Le profilage et la prise de décision automatisée sont utilisés dans un nombre croissant de secteurs, tant privés que publics. La banque et la finance, la santé, la fiscalité, les assurances, la prospection et la publicité ne sont que quelques exemples de domaines où le profilage est régulièrement effectué pour faciliter la prise de décision.
Les progrès technologiques et les capacités en matière d’analyse de mégdonnées , d’intelligence artificielle et d’apprentissage automatique ont facilité la création de profils et la prise de décisions automatisées susceptibles d’avoir une incidence significative sur les droits et les libertés de chacun.
La disponibilité généralisée de données à caractère personnel sur internet et à partir de dispositifs IdO (internet des objets), et la capacité de trouver des corrélations et de créer des liens peuvent permettre de déterminer, d’analyser et de prédire des aspects de la personnalité, du comportement, des intérêts et des habitudes d’une personne.
Le profilage et la prise de décision automatisée peuvent être utiles pour les particuliers et les organisations, offrant des avantages tels que:
• une efficacité accrue; et
• des économies de ressources.
Ils présentent de nombreuses possibilités d’applications commerciales. Par exemple, ils peuvent être utilisés pour mieux segmenter les marchés et adapter les services et les produits aux besoins de chacun. La médecine, l’éducation, les soins de santé et les transports peuvent également tirer profit de ces processus.
Cependant, le profilage et la prise de décision automatisée peuvent poser des risques importants pour les droits et libertés des personnes, qui nécessitent alors des garanties appropriées.
Ces processus peuvent être opaques. Il se peut que les particuliers ne sachent pas qu’ils font l’objet d’un profilage ou qu’ils ne comprennent pas ce que cela implique.
Le profilage peut perpétuer les stéréotypes existants et la ségrégation sociale. Il peut aussi enfermer des personnes dans une catégorie spécifique et les limiter aux préférences qui leur sont suggérées. Cela peut porter atteinte à leur liberté de choix en ce qui concerne, par exemple, certains produits ou services tels que des livres, de la musique ou des fils d’actualités. Dans certains cas, le profilage peut donner lieu à des prévisions inexactes. Dans d’autres cas, il peut conduire à un déni de services et de biens et à une discrimination injustifiée.
Le RGPD introduit de nouvelles dispositions qui permettent de faire face aux risques découlant du profilage et de la prise de décision automatisée, notamment, mais sans s’y limiter, en ce qui concerne la protection de la vie privée. Les présentes lignes directrices ont pour but de clarifier ces dispositions.
Le document couvre les aspects suivants:
• définitions du profilage et de la prise de décision automatisée, et de l’approche du RGPD dans ces domaines en général – chapitre II
• dispositions générales sur le profilage et la prise de décision automatisée – chapitre III
• dispositions spécifiques concernant la prise de décision exclusivement automatisée définie à l’article 22 – chapitre IV
• enfants et profilage – chapitre V
• analyses d’impact relatives à la protection des données et délégués à la protection des données – chapitre VI
Les annexes contiennent des recommandations sur les bonnes pratiques, en s’appuyant sur l’expérience acquise dans les États membres de l’Union européenne.
Le groupe de travail «article 29» sur la protection des données (GT29) contrôlera la mise en oeuvre des présentes lignes directrices et pourra les compléter s'il y a lieu.
Lien
Lignes directrices sur le consentement au sens du règlement 2016/679 (10 avril 2018)
(Approuvées par le CEPD)
Les présentes lignes directrices fournissent une analyse approfondie de la notion de consentement dans le règlement 2016/679, également connu sous le nom de règlement général sur la protection des données (ci-après le «RGPD»). Le concept de consentement tel qu’utilisé jusqu’à présent dans la directive sur la protection des données (ci-après la «directive 95/46/CE») et dans la directive «vie privée et communications électroniques» a évolué. Le RGPD apporte des clarifications et des précisions complémentaires sur les conditions d’obtention et de démonstration d’un consentement valable. Les présentes lignes directrices se concentrent sur ces modifications afin de fournir des orientations pratiques visant à assurer le respect du RGPD, en s’inspirant de l’avis 15/2011 sur le consentement. Il incombe aux responsables du traitement d’innover afin de trouver de nouvelles solutions qui fonctionnent selon les paramètres de la loi et favorisent davantage la protection des données à caractère personnel ainsi que les intérêts des personnes concernées.
Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu'énumérées à l’article 6 du RGPD. Lorsqu’il entreprend des activités qui impliquent le traitement de données à caractère personnel, le responsable du traitement doit toujours prendre le temps d’examiner quelle serait la base juridique appropriée pour le traitement envisagé.
En général, le consentement ne constitue une base juridique appropriée que si la personne concernée dispose d’un contrôle et d’un choix réel concernant l’acceptation ou le refus des conditions proposées ou de la possibilité de les refuser sans subir de préjudice. Lorsqu’il sollicite un consentement, le responsable du traitement a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.
Les avis existants du groupe de travail «Article 29» (ci-après le «G29») sur le consentement restent pertinents lorsqu’ils sont en phase avec le nouveau cadre juridique, dès lors que le RGPD codifie certaines des orientations et des bonnes pratiques générales du G29 et que la plupart des principaux éléments du consentement restent identiques en vertu du RGPD. Aussi le G29 développe-t-il et complète-t-il dans le présent document ses avis précédents relatifs à des thématiques spécifiques comprenant des références au consentement au sens de la directive 95/46/CE plutôt que de les remplacer.
Comme indiqué dans l’avis 15/2011 sur la définition du consentement, l’invitation à accepter le traitement de données devrait être régie par des conditions strictes, dès lors qu’elle concerne les droits fondamentaux des personnes concernées et que le responsable du traitement souhaite procéder à un traitement qui serait illicite sans le consentement de la personne concernée. Le rôle essentiel du consentement est souligné par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne. En outre, l’obtention d’un consentement n’annule pas ou ne diminue pas de quelque façon que ce soit l’obligation imposée au responsable du traitement de respecter les principes relatifs au traitement énoncés dans le RGPD, notamment dans son article 5 concernant la loyauté, la nécessité, la proportionnalité ainsi que la qualité des données. Ainsi, même si le traitement de données à caractère personnel a reçu le consentement de la personne concernée, cela ne justifie pas la collecte de données excessives au regard d’une finalité spécifique de traitement, ce qui serait foncièrement abusif.
Dans le même temps, le G29 est conscient de la révision de la directive «vie privée et communications électroniques» (2002/58/CE). La notion de consentement telle que présentée dans le projet de règlement «vie privée et communications électroniques» reste liée à la notion de consentement au sens du RGPD. En vertu de ce nouvel instrument, les entreprises nécessiteront probablement le consentement des personnes concernées pour la plupart de leurs messages commerciaux en ligne et de leurs appels commerciaux, ainsi que pour leurs méthodes de suivi en ligne, y compris moyennant l’utilisation de cookies, d’applications ou d’autres logiciels. Le G29 a déjà fourni des recommandations et des orientations au législateur européen concernant la proposition de règlement «vie privée et communications électroniques».
Concernant la directive «vie privée et communications électroniques» existante, le G29 note que les références faites à la directive 95/46/CE abrogée s’entendent comme faites au RGPD. Ceci s’applique également aux références faites au consentement dans l’actuelle directive 2002/58/CE, dès lors que le règlement «vie privée et communications électroniques» ne sera pas (encore) entré en vigueur le 25 mai 2018. Selon l’article 95 du RGPD, aucune obligation supplémentaire concernant le traitement de données dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications ne sera imposée dans la mesure où la directive «vie privée et communications électroniques» impose des obligations spécifiques ayant le même objectif. Le G29 note que les exigences relatives au consentement imposées par le RGPD ne sont pas considérées comme des «obligations supplémentaires», mais plutôt comme des conditions préalables essentielles au traitement licite. Aussi les conditions d’obtention d’un consentement valable établies par le RGPD sont-elles applicables dans les situations tombant dans le champ d’application de la directive «vie privée et communications électroniques».
Lien
Jurisprudence de la CJUE
C-465/00 ; C-138/01 ; C-139/01 (20 mai 2003)
1) Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ne s'opposent pas à une réglementation nationale, telle que celle en cause dans les affaires au principal, à la condition qu'il soit établi que la large divulgation non seulement du montant des revenus annuels, lorsque ceux-ci excèdent un certain plafond, des personnes employées par les entités soumises au contrôle du Rechnungshof, mais également des noms des bénéficiaires de ces revenus, est nécessaire et appropriée à l'objectif de bonne gestion des ressources publiques poursuivi par le constituant, ce qu'il incombe aux juridictions de renvoi de vérifier.
2) Les articles 6, paragraphe 1, sous c), et 7, sous c) et e), de la directive 95/46 sont directement applicables, en ce sens qu'ils peuvent être invoqués par un particulier devant les juridictions nationales pour écarter l'application des règles de droit interne contraires à ces dispositions.
Conclusions de l'Avocat général
Arrêt rendu
C-524/06 (16 décembre 2008)
1) Un système de traitement de données à caractère personnel relatives aux citoyens de l’Union non-ressortissants de l’État membre concerné tel que celui mis en place par la loi sur le registre central des étrangers (Gesetz über das Ausländerzentralregister) du 2 septembre 1994, telle que modifiée par la loi du 21 juin 2005, et ayant pour objectif le soutien des autorités nationales en charge de l’application de la réglementation sur le droit de séjour ne répond à l’exigence de nécessité prévue à l’article 7, sous e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, interprété à la lumière de l’interdiction de toute discrimination exercée en raison de la nationalité, que:
– s’il contient uniquement les données nécessaires à l’application par lesdites autorités de cette réglementation, et
– si son caractère centralisé permet une application plus efficace de cette réglementation en ce qui concerne le droit de séjour des citoyens de l’Union non-ressortissants de cet État membre.
Il appartient à la juridiction de renvoi de vérifier ces éléments en l’espèce au principal.
En tout état de cause, ne sauraient être considérés comme nécessaires au sens de l’article 7, sous e), de la directive 95/46 la conservation et le traitement de données à caractère personnel nominatives dans le cadre d’un registre tel que le registre central des étrangers à des fins statistiques.
2) Il convient d’interpréter l’article 12, paragraphe 1, CE en ce sens qu’il s’oppose à l’instauration par un État membre d’un système de traitement de données à caractère personnel spécifique aux citoyens de l’Union non-ressortissants de cet État membre dans l’objectif de lutter contre la criminalité.
Conclusions de l'Avocat général
Arrêt rendu
C468/10 ; C-469/10 (24 novembre 2011)
1) L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, en l’absence du consentement de la personne concernée et pour autoriser le traitement de ses données à caractère personnel nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable de ce traitement ou par le ou les tiers auxquels ces données sont communiquées, exige, outre le respect des droits et libertés fondamentaux de cette dernière, que lesdites données figurent dans des sources accessibles au public, excluant ainsi de façon catégorique et généralisée tout traitement de données ne figurant pas dans de telles sources.
2) L’article 7, sous f), de la directive 95/46 a un effet direct.
Arrêt rendu
C-342/12 (30 mai 2013)
1) L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication pour chaque travailleur des heures de début et de fin du travail, ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.
2) Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment, en ce qui concerne le temps de travail.
Arrêt rendu
C-683/13 (19 juin 2014)
1) L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’un registre du temps de travail, tel que celui en cause au principal, qui comporte l’indication, pour chaque travailleur, des heures de début et de fin du travail ainsi que des interruptions ou des pauses correspondantes, relève de la notion de «données à caractère personnel», au sens de cette disposition.
2) Les articles 6, paragraphe 1, sous b) et c), ainsi que 7, sous c) et e), de la directive 95/46 doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale, telle que celle en cause au principal, qui impose à l’employeur l’obligation de mettre à la disposition de l’autorité nationale compétente en matière de surveillance des conditions de travail le registre du temps de travail afin d’en permettre la consultation immédiate, pour autant que cette obligation est nécessaire aux fins de l’exercice par cette autorité de ses missions de surveillance de l’application de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail.
3) Il incombe à la juridiction de renvoi d’examiner si l’obligation, pour l’employeur, de fournir à l’autorité nationale compétente en matière de surveillance des conditions de travail un accès au registre du temps de travail de façon à en permettre la consultation immédiate peut être considérée comme nécessaire aux fins de l’exercice par cette autorité de sa mission de surveillance, en contribuant à une application plus efficace de la réglementation en matière de conditions de travail, notamment en ce qui concerne le temps de travail, et, dans l’affirmative, si les sanctions infligées en vue d’assurer l’application effective des exigences posées par la directive 2003/88/CE du Parlement européen et du Conseil, du 4 novembre 2003, concernant certains aspects de l’aménagement du temps de travail, respectent le principe de proportionnalité.
Arrêt rendu
C-582/14 (19 octobre 2016)
1) L’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’une adresse de protocole Internet dynamique enregistrée par un fournisseur de services de médias en ligne à l’occasion de la consultation par une personne d’un site Internet que ce fournisseur rend accessible au public constitue, à l’égard dudit fournisseur, une donnée à caractère personnel au sens de cette disposition, lorsqu’il dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne.
2) L’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il s’oppose à une réglementation d’un État membre en vertu de laquelle un fournisseur de services de médias en ligne ne peut collecter et utiliser des données à caractère personnel afférentes à un utilisateur de ces services, en l’absence du consentement de celui-ci, que dans la mesure où cette collecte et cette utilisation sont nécessaires pour permettre et facturer l’utilisation concrète desdits services par cet utilisateur, sans que l’objectif visant à garantir la capacité générale de fonctionnement des mêmes services puisse justifier l’utilisation desdites données après une session de consultation de ceux‑ci.
Conclusions de l'Avocat général
Arrêt rendu
C-13/16 (4 mai 2017)
L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.
Conclusions de l'Avocat général
Arrêt rendu
C-73/16 (27 septembre 2017)
1) L’article 47 de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il ne s’oppose pas à une législation nationale qui subordonne l’exercice d’un recours juridictionnel par une personne affirmant qu’il a été porté atteinte à son droit à la protection des données à caractère personnel garanti par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, à l’épuisement préalable des voies de recours disponibles devant les autorités administratives nationales, à condition que les modalités concrètes d’exercice desdites voies de recours n’affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à cette disposition. Il importe, notamment, que l’épuisement préalable des voies de recours disponibles devant les autorités administratives nationales n’entraîne pas de retard substantiel pour l’introduction d’un recours juridictionnel, qu’il entraîne la suspension de la prescription des droits concernés et qu’il n’occasionne pas de frais excessifs.
2) L’article 47 de la charte des droits fondamentaux de l’Union européenne doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale rejette, en tant que moyen de preuve d’une violation de la protection des données à caractère personnel conférée par la directive 95/46, une liste, telle que la liste litigieuse, présentée par la personne concernée et contenant des données à caractère personnel de celle-ci, dans l’hypothèse où cette personne aurait obtenu cette liste sans le consentement, légalement requis, du responsable du traitement de ces données, à moins qu’un tel rejet soit prévu par la législation nationale et qu’il respecte à la fois le contenu essentiel du droit à un recours effectif et le principe de proportionnalité.
3) L’article 7, sous e), de la directive 95/46 doit être interprété en ce sens qu’il ne s’oppose pas à un traitement de données à caractère personnel par les autorités d’un État membre aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale tel que celui auquel il est procédé par l’établissement d’une liste de personnes telle que celle en cause dans l’affaire au principal, sans le consentement des personnes concernées, à condition, d’une part, que ces autorités aient été investies par la législation nationale de missions d’intérêt public au sens de cette disposition, que l’établissement de cette liste et l’inscription sur celle-ci du nom des personnes concernées soient effectivement aptes et nécessaires aux fins de la réalisation des objectifs poursuivis et qu’il existe des indices suffisants pour présumer que les personnes concernées figurent à juste titre sur ladite liste et, d’autre part, que toutes les conditions de licéité de ce traitement de données à caractère personnel imposées par la directive 95/46 soient satisfaites.
Conclusions de l'Avocat général
Arrêt rendu
C-496/17 (16 janvier 2019)
L’article 24, paragraphe 1, second alinéa, du règlement d’exécution (UE) 2015/2447 de la Commission, du 24 novembre 2015, établissant les modalités d’application de certaines dispositions du règlement (UE) no 952/2013 du Parlement européen et du Conseil établissant le code des douanes de l’Union, lu à la lumière de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que les autorités douanières peuvent exiger du demandeur du statut d’opérateur économique agréé qu’il communique les numéros d’identification fiscale, attribués aux fins du prélèvement de l’impôt sur le revenu, concernant uniquement les personnes physiques qui sont responsables du demandeur ou exercent le contrôle sur la gestion de celui-ci et celles qui sont responsables des questions douanières en son sein, ainsi que les coordonnées des centres des impôts compétents à l’égard de l’ensemble de ces personnes, pour autant que ces données permettent à ces autorités d’obtenir des informations relatives aux infractions graves ou répétées à la législation douanière ou aux dispositions fiscales ou aux infractions pénales graves commises par ces personnes physiques en lien avec leur activité économique.
Conclusions de l'Avocat général
Arrêt rendu
C-40/17 (29 juillet 2019)
1) Les articles 22 à 24 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils ne s’opposent pas à une réglementation nationale permettant aux associations de défense des intérêts des consommateurs d’agir en justice contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel.
2) Le gestionnaire d’un site Internet, tel que Fashion ID GmbH & Co. KG, qui insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet à ce fournisseur des données à caractère personnel du visiteur, peut être considéré comme étant responsable du traitement, au sens de l’article 2, sous d), de la directive 95/46. Cette responsabilité est cependant limitée à l’opération ou à l’ensemble des opérations de traitement des données à caractère personnel dont il détermine effectivement les finalités et les moyens, à savoir la collecte et la communication par transmission des données en cause.
3) Dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, il est nécessaire que ce gestionnaire et ce fournisseur poursuivent chacun, avec ces opérations de traitement, un intérêt légitime, au sens de l’article 7, sous f), de la directive 95/46, afin que celles-ci soient justifiées dans son chef.
4) L’article 2, sous h), et l’article 7, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans une situation telle que celle en cause au principal, dans laquelle le gestionnaire d’un site Internet insère sur ledit site un module social permettant au navigateur du visiteur de ce site de solliciter des contenus du fournisseur dudit module et de transmettre à cet effet audit fournisseur des données à caractère personnel du visiteur, le consentement visé à ces dispositions doit être recueilli par ce gestionnaire uniquement en ce qui concerne l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont ledit gestionnaire détermine les finalités et les moyens. En outre, l’article 10 de cette directive doit être interprété en ce sens que, dans une telle situation, l’obligation d’information prévue par cette disposition pèse également sur ledit gestionnaire, l’information que ce dernier doit fournir à la personne concernée ne devant toutefois porter que sur l’opération ou l’ensemble des opérations de traitement des données à caractère personnel dont il détermine les finalités et les moyens.
Conclusions de l'Avocat général
Arrêt rendu
C‑673/17 (1er octobre 2019)
1) L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lus conjointement avec l’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que le consentement visé à ces dispositions n’est pas valablement donné lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet, par l’intermédiaire de cookies, est autorisé au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.
2) L’article 2, sous f), et l’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, lus conjointement avec l’article 2, sous h), de la directive 95/46 ainsi qu’avec l’article 4, point 11, et l’article 6, paragraphe 1, sous a), du règlement 2016/679, ne doivent pas être interprétés différemment selon que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel, au sens de la directive 95/46 et du règlement 2016/679.
3) L’article 5, paragraphe 3, de la directive 2002/58, telle que modifiée par la directive 2009/136, doit être interprété en ce sens que les informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.
Conclusions de l'Avocat général
Arrêt rendu
C-708/18 (11 décembre 2019)
L’article 6, paragraphe 1, sous c), et l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lus à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, doivent être interprétés en ce sens qu’ils ne s’opposent pas à des dispositions nationales qui autorisent la mise en place d’un système de vidéosurveillance, tel que le système en cause au principal installé dans les parties communes d’un immeuble à usage d’habitation, aux fins de poursuivre des intérêts légitimes consistant à assurer la garde et la protection des personnes et des biens, sans le consentement des personnes concernées, si le traitement de données à caractère personnel opéré au moyen du système de vidéosurveillance en cause répond aux conditions posées audit article 7, sous f), ce qu’il incombe à la juridiction de renvoi de vérifier.
Arrêt rendu