Dans le cadre d'un litige opposant une société de droit public belge à l'Autorité de protection des données belge (APD), quatre questions préjudicielles à la Cour de justice de l'Union européenne (CJUE) ont été soulevées :
① Un abonné doit-il consentir, à la fois à l'opérateur de service téléphonique et à ses fournisseurs, à la transmission et à la publication de ses données à caractère personnel dans les annuaires et services de renseignements téléphoniques accessibles au public ?
② La demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue-t-elle un recours au « droit à l’effacement », au sens de l'article 17 du RGPD ?
③ Une autorité de contrôle nationale peut-elle exiger que le responsable de traitement (la société de droit public) prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers (ses propres fournisseurs et l'opérateur de services téléphonique) du retrait du consentement de l'abonné ?
④ Une autorité de contrôle nationale peut-elle exiger que le responsable de traitement prenne des « mesures raisonnables » afin d’informer les fournisseurs de moteurs de recherche d'une demande d’effacement des données ?
Dans un arrêt du 27 octobre 2022, la CJUE apporte des précisions sur ces questions.
Les faits
Un abonné d'un opérateur de services téléphonique a demandé à son fournisseur de ne pas faire figurer ses coordonnées dans les annuaires édités. À la suite de cette demande, le fournisseur a modifié le statut de cet abonné dans son système informatique, afin que les coordonnées dudit abonné ne soient plus rendues publiques. Également, il a contacté Google pour que les liens pertinents vers le site Internet soient supprimés, et a informé ses propres fournisseurs de la demande de la personne concernée.
Toutefois, l'opérateur a effectué une mise à jour qui contenait de nouvelles données de l’abonné concerné, qui n’étaient pas indiquées comme étant confidentielles. Ces informations ont fait l'objet d'un traitement automatisé par le fournisseur, de sorte qu’elles figuraient de nouveau dans les annuaires.
Ledit abonné a alors déposé une plainte auprès de l’APD. Le 30 juillet 2020, la chambre du contentieux a adopté une décision par laquelle elle a imposé au fournisseur des mesures correctives et lui a infligé une amende d’un montant de 20 000 euros pour violation, notamment, de l’article 6 du RGPD, relatif à la licéité du traitement. Celui-ci a introduit un recours contre cette décision devant la cour d’appel de Bruxelles, qui a décidé de surseoir à statuer et de poser à la CJUE les questions préjudicielles citées.
Question relative au « consentement » de l'abonné
Le litige en cause oppose une personne physique à une société, qui n’est pas son opérateur de services téléphoniques.
La directive 2002/58/CE prévoit que lorsque les données sont transmises à un ou plusieurs tiers, l’abonné devrait être informé de cette possibilité ainsi que des destinataires ou catégories de destinataires éventuels.
Toutefois, le consentement au titre de l'article 12.2 de la directive porte sur la finalité de la publication des données à caractère personnel dans un annuaire public, et non sur l’identité d’un fournisseur d’annuaire en particulier. De ce fait, lorsque cet abonné a consenti à ce que ses données soient publiées dans un annuaire ayant une finalité particulière, il n’aura généralement pas d’intérêt à s’opposer à la publication des mêmes données dans un autre annuaire similaire.
Une transmission de données à caractère personnel des abonnés à des tiers est donc permise « s’il est garanti que les données ne pourront pas être utilisées à des fins autres que celles pour lesquelles elles ont été collectées ».
En revanche, si les données transmises sont exploitées à d’autres fins, le fournisseur devra obtenir une nouvelle fois le consentement de l’abonné.
Pour rappel, le consentement, au sens de l'article 4.11 du RGPD, requiert une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’« un acte positif clair » marquant son acceptation du traitement des données à caractère personnel la concernant. Si l'abonné n'a pas consenti expressément à la transmission et à la publication de ses données, le fournisseur devra demander à nouveau son consentement.
Question relative à la qualification du droit de retrait
Le fournisseur faisait valoir que cette demande devrait, tout au plus, être considérée comme constituant une demande de rectification, et non comme une demande de « droit à l'effacement ».
Pour rappel, l'article 17 du RGPD énonce que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et que le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais. En effet, un tel consentement constitue l’une des conditions nécessaires permettant de conclure à la licéité du traitement des données à caractère personnel de l’abonné concerné. Celui-ci peut donc le retirer à tout moment et selon des modalités aussi simples que celles dans lesquelles il l'a donné.
La demande ne peut être considérée comme une demande de rectification, puisqu'elle ne tend pas à remplacer des données inexactes par des données correctes ou à compléter des données incomplètes, mais tend à supprimer la publication de données correctes.
Dans ces conditions, il y a lieu de considérer que la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires peut être considérée comme un recours au « droit à l’effacement ».
💡 Retrouvez toutes les informations concernant les droits des personnes concernées et leur exercice dans notre fiche pratique.
Question relative à l'exigence d'informer le(s) responsable(s) de traitement tiers du retrait du consentement de l'abonné
Le fournisseur a souligné qu’il transmettait les coordonnées de ses abonnés à d’autres fournisseurs d’annuaires, mais qu'il n’avait aucune vue sur les procédures de fonctionnement interne de ces fournisseurs.
Le principe est que l’article 6.1 a) du RGPD prévoit qu’un traitement est licite si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. À la suite du retrait du consentement, le traitement de ces données n’a plus de fondement juridique et est ainsi illicite.
Les articles 5.2 et 24 du RGPD imposent au responsable du traitement de s’assurer qu’il est en mesure de démontrer que les données à caractère personnel sont traitées de manière licite, loyale et transparente au regard de la personne concernée, et doit mettre des mesures techniques et organisationnelles appropriées pour s'en assurer.
L'absence d’une telle obligation d’information pour le responsable du traitement sur le retrait du consentement de la personne concernée pourrait rendre le retrait du consentement particulièrement difficile, dès lors que cette personne pourrait se croire tenue de s’adresser à chacun des opérateurs.
De ce fait, une autorité de contrôle nationale peut exiger que le responsable du traitement prenne des mesures techniques et organisationnelles appropriées afin de notifier à chaque destinataire, auquel des données à caractère personnel ont été communiquées, tout effacement de données à caractère personnel effectué, afin que les fournisseurs et l'opérateur de services téléphonique isole les données de ses abonnés qui ont manifesté leur volonté de retirer leur consentement.
Question relative à l'exigence d'informer les moteurs de recherche de la demande d'effacement des données
Pour rappel, l'article 17.2 du RGPD impose au responsable du traitement qui a rendu publiques les données à caractère personnel de prendre des mesures raisonnables pour informer les responsables du traitement que la personne concernée a demandé l’effacement, la copie ou la reproduction de ses données. Cette obligation vise, notamment, les informations mises à la disposition sur Internet par les fournisseurs de moteurs de recherche qui traitent des données publiées en ligne.
Une autorité de contrôle nationale peut donc exiger que le fournisseur, responsable du traitement, veille à prendre des mesures raisonnables afin d’informer les fournisseurs de moteurs de recherche de la demande qui lui a été adressée par l’abonné d’un opérateur de services téléphoniques et visant à l’effacement de ses données personnelles.
Afin de déterminer le caractère raisonnable des mesures prises, la technologie disponible et les coûts de mise en œuvre doivent être pris en compte. Cette appréciation relève de la compétence de l’autorité compétente en la matière (CNIL).