Le RGPD prévaut sur le secret des affaires, selon la CJUE

dans ,

Le RGPD prévaut sur le secret des affaires, selon la CJUE

Dans une décision majeure, la Cour de justice de l’Union européenne (CJUE) a statué que le Règlement général sur la protection des données (RGPD) prime sur le secret des affaires. Cette décision éclaire le conflit entre le droit d’accès garanti par le RGPD et le droit à la non-divulgation des secrets commerciaux. Voici une analyse détaillée de cette décision et de ses implications.

Contexte du litige

Une citoyenne autrichienne s’est vu refuser la conclusion ou la prolongation d’un contrat de téléphonie mobile. La raison invoquée était une évaluation défavorable de son crédit, issue d’une prise de décision automatisée. Selon cette évaluation, elle ne présentait pas une solvabilité financière suffisante.

Considérant cette décision injuste, elle a saisi l’autorité autrichienne de protection des données (équivalent de la CNIL en France). Elle a obtenu que l’entreprise responsable du scoring lui communique des informations sur la logique sous-jacente de cette évaluation.

Cependant, l’entreprise a estimé qu’en raison du secret des affaires, elle n’était pas tenue de fournir davantage d’informations que celles déjà communiquées. Elle a donc formé un recours devant le Tribunal administratif fédéral, arguant que la divulgation totale de sa méthode de scoring compromettrait ses secrets commerciaux.

Le Tribunal administratif fédéral a jugé que l’entreprise devait fournir plus d’explications pour permettre à la personne concernée de comprendre comment le score avait été établi. Les informations initiales, indiquant simplement que des données sociodémographiques avaient été « agrégées de manière équivalente », étaient jugées insuffisantes.

Chargée d’exécuter cette décision, l’administration municipale de Vienne a refusé, estimant également que les informations fournies étaient suffisantes. La citoyenne autrichienne a alors déposé un recours devant le tribunal administratif de Vienne.

Ce dernier a ordonné à l’entreprise de fournir :

  • Les données personnelles traitées (date de naissance, adresse, sexe, etc.) utilisées dans le calcul du « facteur » de scoring.
  • La formule mathématique à la base du calcul du score.
  • La valeur attribuée à la personne pour chacun des facteurs concernés.
  • La précision des intervalles à l’intérieur desquels la même valeur est attribuée à différentes données pour le même facteur.

L’entreprise devait également fournir une liste de scores attribués à d’autres personnes sur la base de la même règle de calcul, sur une période d’un an (six mois avant et six mois après l’établissement du score de la plaignante).

Entre secret des affaires et RGPD : cadre juridique

Le litige portait principalement sur l’interprétation de plusieurs textes juridiques :

1. Article 15, paragraphe 1, point h) du RGPD

Cet article accorde aux personnes concernées le droit d’obtenir des informations sur l’existence d’une prise de décision automatisée, y compris le profilage. Il stipule que la personne a le droit d’accéder « au moins à des informations utiles concernant la logique sous-jacente », ainsi qu’à l’importance et aux conséquences prévues de ce traitement pour elle.

2. Article 22 du RGPD

Il prévoit le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques ou affectant de manière significative la personne concernée. Il y a toutefois des exceptions, notamment si la décision est nécessaire à la conclusion ou à l’exécution d’un contrat, si elle est autorisée par le droit de l’UE ou si elle est basée sur le consentement explicite de la personne concernée.

3. Directive (UE) 2016/943 sur la protection du secret des affaires

Elle définit le secret des affaires comme des informations qui :

  • Sont secrètes, c’est-à-dire non généralement connues ou aisément accessibles.
  • Ont une valeur commerciale parce qu’elles sont secrètes.
  • Ont fait l’objet de mesures raisonnables pour les garder secrètes.

4. Droit autrichien (Datenschutzgesetz)

L’article 4, paragraphe 6, du Datenschutzgesetz (équivalent de la loi française « Informatique et Libertés ») exclut, en principe, l’accès de la personne concernée à ses données personnelles lorsque cet accès porte préjudice à un secret commercial ou industriel du responsable du traitement ou d’un tiers.

Questions posées à la CJUE

Le tribunal administratif de Vienne a soumis plusieurs questions préjudicielles à la CJUE pour clarifier le conflit entre le RGPD et le secret des affaires. Les principales interrogations étaient :

  • Jusqu’où le droit d’accès prévu par le RGPD s’étend-il face au secret des affaires ?
  • Quelles sont les exigences matérielles pour que les informations fournies soient considérées comme « utiles » au sens du RGPD ?
  • Les informations doivent-elles permettre à la personne concernée de vérifier l’exactitude des données et de contester la décision automatisée ?

Analyse de la CJUE

1. Primauté du RGPD sur le secret des affaires

La CJUE a affirmé que le RGPD, en tant que règlement de l’UE, a une portée générale et est directement applicable dans tous les États membres. Il vise à protéger les droits fondamentaux des personnes, notamment le droit à la protection des données personnelles.

La Cour a souligné que, bien que le secret des affaires soit protégé, il ne peut pas prévaloir sur le droit d’accès garanti par le RGPD. Les responsables du traitement ne peuvent pas invoquer de manière générale le secret des affaires pour refuser de fournir les informations requises.

2. Rôle des juridictions nationales

La CJUE a validé le fait que les juridictions nationales peuvent exiger que les informations soient fournies à l’autorité ou à la juridiction saisie pour évaluer si elles relèvent effectivement du secret des affaires. Cela permet une pondération des intérêts en présence.

La Cour a indiqué qu’une réglementation nationale ne peut pas fixer de manière définitive le résultat de cette pondération, car cela reviendrait à restreindre les droits conférés par le RGPD.

3. Définition des « informations utiles »

La notion d' »informations utiles concernant la logique sous-jacente » est cruciale. La CJUE a interprété ce terme de manière à garantir une compréhension suffisante par la personne concernée.

Elle a estimé que les informations doivent permettre à la personne de comprendre la méthode de prise de décision automatisée, sans pour autant exiger la divulgation de détails techniques ou de secrets commerciaux spécifiques. Autrement dit, il s’agit d’un « droit à l’explication » de la procédure et des principes appliqués.

4. Droit à la vérification et à la contestation

La Cour a également souligné que la personne concernée doit pouvoir vérifier l’exactitude des données utilisées et contester la décision automatisée si nécessaire. Cela implique que le responsable du traitement doit fournir suffisamment d’informations pour permettre cette vérification.

Implications de la décision

1. Pour les entreprises

Les entreprises qui utilisent des prises de décisions automatisées, notamment des systèmes de scoring ou de profilage, doivent être prêtes à fournir des informations claires sur la logique sous-jacente de ces décisions.

  • Transparence accrue : Elles doivent expliquer quelles données personnelles sont utilisées et comment elles influent sur la décision.
  • Documentation des processus : Il est essentiel de documenter les algorithmes et les méthodes de décision pour pouvoir fournir des explications aux personnes concernées.
  • Formation du personnel : Le personnel doit être formé pour comprendre les obligations légales et répondre aux demandes d’informations conformément au RGPD.

2. Pour les personnes concernées

Les individus ont le droit :

  • D’être informés de l’existence de prises de décisions automatisées les concernant.
  • D’obtenir des explications sur la logique sous-jacente à ces décisions.
  • De vérifier l’exactitude des données et de contester les décisions automatisées.

3. Pour les autorités de protection des données

Les autorités sont encouragées à :

  • Veiller à ce que les responsables du traitement respectent les obligations de transparence.
  • Faciliter la compréhension des droits par les personnes concernées.
  • Offrir des lignes directrices pour aider les entreprises à se conformer au RGPD.

Conclusion

La décision de la CJUE clarifie la primauté du RGPD sur le secret des affaires en matière de droit d’accès aux données personnelles et aux informations sur les prises de décisions automatisées. Elle renforce les droits des individus à comprendre comment leurs données sont traitées et utilisées dans des décisions qui les affectent.

Cette décision aura un impact significatif sur les pratiques des entreprises, qui doivent désormais concilier leurs intérêts commerciaux avec les obligations de transparence imposées par le RGPD. Elles doivent s’assurer que le secret des affaires n’est pas utilisé comme un prétexte pour limiter les droits des personnes concernées.

Il est crucial pour les entreprises de réévaluer leurs processus internes, de former leur personnel et de garantir une conformité totale avec le RGPD pour éviter des sanctions potentielles et préserver la confiance des consommateurs.

Points clés à retenir

  • Primauté du RGPD : Le RGPD l’emporte sur le secret des affaires en cas de conflit concernant le droit d’accès aux données et aux informations sur les décisions automatisées.
  • Droit à l’explication : Les individus ont le droit d’obtenir des informations utiles sur la logique sous-jacente des décisions automatisées qui les concernent.
  • Pondération des intérêts : Les juridictions nationales doivent équilibrer les droits à la protection des données personnelles avec le secret des affaires au cas par cas.
  • Obligations des entreprises : Les entreprises doivent être transparentes sur leurs méthodes de prise de décision automatisée sans compromettre indûment leurs secrets commerciaux.

Recommandations pour les entreprises

  1. Audit des processus : Examiner les systèmes de prise de décision automatisée pour identifier les informations pouvant être divulguées sans compromettre le secret des affaires.
  2. Documentation détaillée : Établir une documentation claire des algorithmes et des méthodes utilisés, prête à être partagée avec les autorités ou les personnes concernées.
  3. Formation du personnel : Sensibiliser les employés aux obligations du RGPD et aux processus de réponse aux demandes d’accès.
  4. Communication transparente : Mettre en place des procédures pour fournir des explications adaptées aux personnes concernées, en évitant le jargon technique.
  5. Consultation juridique : Travailler avec des experts en protection des données pour s’assurer de la conformité avec le RGPD et anticiper les problèmes potentiels.

Perspectives futures

Cette décision pourrait influencer les pratiques commerciales au-delà des frontières autrichiennes, établissant un précédent au sein de l’Union européenne. Elle souligne l’importance croissante de la transparence et de la protection des données dans un monde de plus en plus numérique et automatisé.

Les entreprises devront s’adapter à cette nouvelle réalité, où le respect des droits des individus en matière de données personnelles est non négociable. Cela pourrait également encourager le développement de solutions technologiques qui concilient efficacité commerciale et respect des réglementations sur la protection des données.

Ressources supplémentaires

  • Texte intégral du RGPD : Pour comprendre en détail les obligations légales.
  • Directive (UE) 2016/943 : Sur la protection du secret des affaires.
  • Guides pratiques : Publiés par les autorités de protection des données pour aider les entreprises à se conformer aux exigences.

Conclusion finale

La protection des données personnelles est un enjeu majeur dans notre société moderne. La décision de la CJUE réaffirme le droit des individus à comprendre comment leurs données sont utilisées, en particulier lorsqu’elles influencent des décisions importantes les concernant. Les entreprises doivent prendre cette décision au sérieux et agir en conséquence pour garantir le respect des droits de leurs clients et utilisateurs.

Cette affaire souligne également le rôle crucial des juridictions et des autorités de protection des données dans l’application et l’interprétation du RGPD. Elle rappelle que la protection des données personnelles est une responsabilité partagée, nécessitant la collaboration de tous les acteurs pour créer un environnement numérique sûr et transparent.

Les précieuses décisions de la CJUE

dans , ,

Les précieuses décisions de la CJUE (Episode 2) L’affaire C-184/20

Une nouvelle question préjudicielle[1] posée à la Cour de Justice de l’Union Européenne (CJUE) permet d’interpréter encore davantage le sens à donner aux dispositions issues du Règlement Général sur la Protection des Données (RGPD).

Le contexte de l’affaire

Les circonstances de cette décision résonnent différemment, à quelques jours de la Saint-Valentin : il faut croire qu’en politique, comme en amour, tout est une question de confiance !

Au cœur de cette affaire : la transparence due au public par les dirigeants[2].

Une loi lituanienne du 02 juillet 1997 impose la publicité des déclarations d’intérêts et de patrimoine de ses responsables publics, comme cela est le cas dans plusieurs autres États de l’Union Européenne (UE). Ce texte habilite également une autorité indépendante, la « Haute Commission », à veiller au respect de cette exigence de transparence. A ce titre, elle est notamment chargée de poster sur Internet les déclarations d’intérêts privés qui lui sont adressées.

« OT », le directeur d’un établissement public lituanien actif dans le domaine de la protection de l’environnement, n’a vraisemblablement pas eu le cœur à l’ouvrage. Ce dernier a en effet refusé de soumettre sa déclaration, estimant que cette obligation contrevient à ses droits fondamentaux (droit en matière de protection des données personnelles et droit au respect de sa vie privée).

L’affaire a été portée en justice, et les magistrats lituaniens ont questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre leur droit national et le RGPD.

Vous ne connaissez pas ces textes par cœur ? Ah bon ? Voici donc un petit rappel utile :

Les questions posées à la CJUE

  • Vous l’aurez compris, se pose en substance la question de savoir si le RGPD permet qu’une loi nationale organise la mise en ligne systématique, par l’autorité de contrôle compétente, de la déclaration d’intérêts privés réalisée par un directeur d’établissement percevant des fonds publics.

Ayez le cœur bien accroché, car il est nécessaire de tenir un raisonnement construit pour parvenir à la réponse !

Tout d’abord, il convient de vérifier si un tel traitement est licite.

Pour cela, il faut que le traitement de données que constitue cette publication ait une base légale, c’est-à-dire d’un fondement juridique justifiant sa mise en œuvre. Ici, la loi lituanienne impose à la Haute commission de poster sur son site Internet les déclarations de patrimoine qu’elle reçoit. Cette publication est donc justifiée par l’obligation légale à laquelle est soumise la Haute commission, conformément à l’article 6(1)(c) du RGPD (cf. supra).

Mais l’existence d’une loi prescrivant le traitement de données ne suffit pas. Encore faut-il que cette loi réponde ensuite à plusieurs critères :

  • Les dispositions législatives en cause doivent poursuivre un objectif légitime d’intérêt public ;
  • Le traitement de données concerné doit répondre effectivement à l’objectif légitime poursuivi ;
  • Le traitement de données concerné doit répondre à l’objectif légitime de manière proportionnée.

La publicité de ces déclarations de patrimoine poursuit-elle un objectif légitime d’intérêt public ?

Pour la CJUE, cela ne fait aucun doute. Selon elle, cette mesure a à cœur de « renforcer les garanties de probité et d’impartialité des décideurs du secteur public, [de] prévenir les conflits d’intérêts » et les pratiques illégales dans le secteur public. D’autant que de nombreux textes imposent précisément aux pays de l’UE de lutter contre la corruption, tant au niveau international qu’au niveau communautaire.

Cette mise en ligne est-elle apte à atteindre l’objectif d’intérêt général de lutte contre la corruption ?

Selon la CJUE, cette publicité est susceptible d’influer sur l’exercice des fonctions des personnes tenues de remplir cette déclaration de patrimoine. Cette mesure joue donc un rôle de prévention des conflits d’intérêts et de corruption. Elle permet à tout à chacun d’en avoir le cœur net sur la probité de ces dirigeants, d’« accroître la responsabilité des acteurs du secteur public et, partant, à renforcer la confiance des citoyens dans l’action publique ».

Le traitement de données (la publication) est-il strictement proportionné au but poursuivi ?

Là se situe le point bloquant de cette mesure pour la CJUE.

Pour être proportionné, un traitement de données ne doit pas aller au-delà de ce qui est nécessaire pour concrétiser l’objectif qu’il poursuit. Autrement dit, le but recherché ne doit pas pouvoir être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées.

Or, justement, la CJUE a ici estimé que cette publicité excessive, en particulier au regard de l’impact de cette mesure sur le droit au respect de la vie privée des déclarants et de celle de leurs proches. La Cour relève que la loi lituanienne contrevient au principe de « minimisation des données » prévu à l’article 5(1)(c) du RGPD, notamment car :

  • Un nombre trop important de professionnels est concerné par la publicité de leur déclaration.

Il y a lieu de pondérer cette obligation en tenant compte de la position hiérarchique, de l’étendue des compétences et des pouvoirs dont dispose le dirigeant en matière d’engagement et de gestion de fonds publics. La CJUE est donc d’avis que les directeurs d’établissements ne soient pas traités comme d’autres catégories de fonctions. Selon elle, un simple contrôle du contenu de leur déclaration par la Haute commission, sans mise en ligne, est suffisant. A condition toutefois que cette autorité dispose des moyens nécessaires pour procéder à ces vérifications…

  • L’ampleur des données réclamées est exagérée, tel que le fait de solliciter la mention de « toute transaction conclue au cours des derniers mois civils dont la valeur excède 3.000 €».
  • Trop d’informations devant figurer sur la déclaration de patrimoine ont vocation à être publiées.

Pour la CJUE, il conviendrait de réduire cette liste. La Cour relève que le même niveau de transparence pourrait être atteint s’il était fait uniquement référence, dans la publication, à l’expression générique de « conjoint, concubin ou partenaire », plutôt que de révéler l’identité de ce(tte) dernier(e).

Pas besoin que tous les décideurs publics se livrent à ce point à cœur ouvert pour les responsabiliser !

Sur ce point, la CJUE apporte une précision importante. En répondant à une deuxième question qui lui est adressée, elle souligne que le fait de dévoiler le nom des conjoints/concubins est susceptible de révéler certains aspects sensibles de la vie privée des déclarants, y compris, par exemple, leur orientation sexuelle. Dans ces conditions, la mise en ligne des déclarations d’intérêts privés s’avère être un traitement portant sur des catégories particulières de données, au sens de l’article 9 du RGPD (cf. supra). En effet, s’il ne comporte pas de données « intrinsèquement sensibles », il comprend des données « dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature ». Ce d’autant que la publication de ces renseignements sur le Web les rend accessibles à un nombre potentiellement illimité de personnes. Cette mise en ligne risque d’exposer les proches des déclarants à des démarchages commerciaux répétés, voire à des risques d’agissements criminels par des gens qui ne les porteraient pas dans leur cœur…

 

« OT » a donc eu raison de faire contre mauvaise fortune, bon cœur, pour faire valoir ses droits !

 

Et nous, dans tout cela ?

La France s’est dotée de lois similaires. Sur le même principe qu’en Lituanie, une autorité administrative indépendante est investie de la mission de contrôler l’application des règles en matière de prévention des conflits d’intérêts et de lutte contre la corruption : la Haute Autorité pour la transparence de la vie publique[3].

La loi n° 2013-907 du 11 octobre 2013 prévoit cependant expressément que l’adresse personnelle de l’auteur de la déclaration de patrimoine, ainsi que l’identité des membres de sa famille, ne peuvent pas être rendus publics. Cette obligation de déclaration concerne également moins de responsables publics qu’en Lituanie (globalement, les personnes investis d’un mandat électif et les présidents/directeurs généraux des sociétés dans lesquelles plus de la moitié du capital social est détenu par l’État).

MAIS PRUDENCE – La CJUE précise que sa conclusion n’est pas forcément valable pour tous les Etats membres de l’UE. Selon elle, pour apprécier la légalité de ces publications impératives de déclarations d’intérêts, il convient de prendre en compte « l’ensemble des éléments de droit et de fait propres à l’État membre concerné », tels que l’existence d’autres mesures destinées à prévenir les conflits d’intérêts ou l’ampleur du phénomène de corruption au sein du service public, par exemple.

♥ ♥ ♥

Quelles données collecter ? Pourquoi ? Comment ? Sous quelles conditions ?

Vous êtes perdu parmi toutes ces obligations légales ?

Haut les cœurs ! Pour tout comprendre, il suffit d’être bien accompagné !

Notre équipe d’experts est présent pour vous assister dans vos démarches de conformité.

Si le cœur vous en dit, appelez-nous à la rescousse via notre formulaire de contact, ne serons de tout cœur à vos côtés :

https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] Lorsqu’un tribunal d’un pays de l’Union Européenne (UE) s’interroge, lors d’un procès, sur la portée du champ d’’application d’une législation européenne et son articulation avec le droit national, les juges de cet État membre peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle, pour savoir comment interpréter les textes en cause. 

[2] L’arrêt CJUE, n°C-184/20 « OT contre Vyriausioji tarnybinės etikos komisija », 1er août 2022, est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=345786

[3] Pour en savoir plus sur la Haute autorité pour la transparence de la vie publique, rendez-vous sur son site : https://www.hatvp.fr/temps-forts-2/

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

décision le CJUE

dans ,

Les décisions précieuses de la CJUE (Episode 1) L’affaire C-175/20 [1]

 

Lorsque les tribunaux nationaux s’interrogent durant un procès sur le sens à donner à une législation européenne, ils peuvent adresser à la Cour de Justice de l’Union Européenne (CJUE) une question préjudicielle.   Grâce à cette procédure, la CJUE précise peu à peu son interprétation des textes, et notamment du Règlement Général sur la Protection des Données (RGPD). Pas question de juger dans le flou ou « à peu près » ! Cette jurisprudence communautaire permet aux juridictions des États membres d’harmoniser entre elles leurs décisions, et de combler progressivement le manque de précision parfois reproché à ce Règlement.

 

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique » pour garantir, notamment : la sécurité nationale, la prévention et la détection d’infractions pénales, et d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important.

– Extrait de l’article 23 du RGPD[2]

Le contexte de l’affaire

Une loi lettone permet à l’administration fiscale de contraindre les publicitaires en ligne de lui communiquer les informations dont ils disposent sur les contribuables qui recourent à leurs services. Invoquant cette disposition, l’administration fiscale de Lettonie a demandé au prestataire de services « SS » d’accéder aux numéros de châssis de certains véhicules mis en avant dans une annonce publiée sur son portail durant l’été 2018.

La demande de l’administration fiscale prévoyait par ailleurs que, si « SS » ne parvenait pas à retrouver ces renseignements, il devrait alors lui fournir chaque mois de nombreuses informations concernant les annonces postées le mois d’avant. Les informations portaient notamment sur le lien de l’annonce, le texte de celle-ci, la marque, le modèle, le numéro de châssis et le prix du véhicule, ainsi que le numéro de téléphone du vendeur.

 

« SS » n’a évidemment pas apprécié que l’administration fiscale regarde de près le contenu de son activité et de celle de ses clients. Il s’est ainsi opposé à sa requête, la jugeant non conforme aux principes de proportionnalité et de minimisation des données à caractère personnel prévus par l’article 5 du RGPD.L’affaire a été portée en justice. Les magistrats lettons ont ensuite questionné la CJUE pour en savoir plus sur la compatibilité et l’articulation entre le droit letton et le RGPD.

 

Remarque:

Les juges lettons ne s’interrogeaient pas ici sur le droit de l’administration fiscale d’obtenir des informations à la disposition d’un prestataire publicitaire. Ils ne remettaient pas en cause le fait que le RGPD tolère, dans certaines situations, la communication forcée de données personnelles – à ceci près qu’ils ignoreraient la portée de cette dérogation.

Le litige portait ici davantage sur :

–          La quantité et le type d’informations susceptibles d’être demandées par l’administration fiscale lettone,

–          Le caractère limité ou illimité de celles-ci, […]

–          La question de savoir si l’obligation de communication à laquelle est soumise « SS » doit être limitée dans le temps. ».

Les questions posées à la CJUE

Question 1 (les juges lettons) : Le RGPD s’applique-t-il bien dans une telle situation ?

Réponse 1 (LaCJUE): OUI

  • La demande de ces informations par l’administration fiscale lettone, ainsi que leur transmission par les prestataires publicitaires, constituent bien des traitements de données personnelles (collecte et communication de données).
  • Une telle demande ne constitue pas un “traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites […] ou d’exécution de sanctions pénales”, au sens de l’article 2(2) du RGPD.

En effet, l’administration fiscale n’intervenait pas ici dans le domaine de la coopération judiciaire en matière pénale ou policière. Rien n’indiquait d’ailleurs, de près ou de loin, que les données demandées concernaient une fraude fiscale des vendeurs des véhicules.

L’administration fiscale agissait uniquement dans son rôle de percepteur des impôts.

Conclusion : l’article 2(2) du RGPD excluant son application pour les traitements de données mis en œuvre dans le cadre d’investigations pénales ne s’applique pas ici.

 

Question 2 : (les juges lettons) : Le RGPD autorise-t-il que l’administration fiscale d’un État membre puisse déroger aux principes de proportionnalité et de minimisation des données, alors même qu’un tel droit ne lui a pas été octroyé par la législation de son pays ?

Réponse 2 : (LaCJUE): OUI SOUS CONDITIONS

Les droits reconnus aux personnes concernées par le RGPD pour assurer la protection de leurs données personnelles peuvent être limités par les législations nationales, à condition :

① que ces législations respectent l’essence des libertés et droits fondamentaux, et 

② que ces limitations constituent une mesure nécessaire et proportionnée pour garantir certains enjeux essentiels, notamment un intérêt économique ou financier important, y compris dans le domaine fiscal (art. 23 RGPD)3.

Remarque : la CJUE précise qu’une telle loi doit être claire et précise, et que son application doit être prévisible pour les justiciables. En d’autres termes, il faut que les citoyens soient en mesure d’identifier les circonstances et les conditions dans lesquelles leurs droits peuvent être limités.

◊ Le texte législatif en question doit détailler la portée de cette entorse faite aux droits des citoyens en matière de protection des données personnelles, les situations dans lesquelles cette limitation peut intervenir, les exigences minimales prévues pour prévenir les risques d’abus, etc.).

 

Question 3 : (les juges lettons) : LE RGPD s’oppose-t-il à ce que l’administration fiscale d’un État membre exige d’un publicitaire sur Internet qu’il lui communique, pendant une période indéterminée et sans que soit précisée la finalité de cette demande de communication, des informations relatives à l’ensemble des contribuables qui auraient publié des annonces sur son site ?

Réponse 3 : (LaCJUE) OUI – L’administration fiscale doit elle-aussi, dans cette hypothèse, respecter les articles 5 (principe de proportionnalité et de minimisation des données) et 6 (base légale du traitement) du RGPD.

  • La demande de l’administration fiscale doit indiquer explicitement les finalités des traitements qu’elle entend réaliser avec ces données, en application de l’article 6 du RGPD. Elle doit d’ailleurs viser la réglementation en vertu de laquelle elle agit.

La base légale [4] de ces traitements serait ici « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’administration fiscale », puisque la perception de l’impôt et la lutte contre la fraude fiscale constituent bien des missions d’intérêts publics.

  • Le seul fait que l’administration fiscale ne précise aucune limite temporelle à sa demande de collecte de données ne permet pas, en lui seul, de considérer que la durée de ce traitement excède celle strictement nécessaire pour atteindre l’objectif visé par le fisc.

MAIS la CJUE précise qu’il appartient à l’administration fiscale de prouver qu’elle a cherché à minimiser autant que possible la quantité de données à caractère personnel qu’elle souhaite recueillir, et que la collecte de ces données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général qu’elle poursuit.

Et vous, dans tout cela ?

Cette décision rappelle le cadre dans lequel les « tiers autorisés »[5] peuvent solliciter l’accès à des données à caractère personnel provenant des fichiers d’organismes publics ou privés.

Vous ! Oui, vous. Soyez vigilants ! Il ne s’agit pas de transmettre automatiquement toutes les informations que vous traitez aux « autorités » sur simple demande de leur part, et sans autres vérifications ! Autrement, vous vous rendrez coupable d’une violation de données, faute d’avoir respecté la confidentialité attachée à ces renseignements.

 

Dans cette situation, de nombreux points sont à contrôler pour ne pas violer vos obligations en matière de protection des données :

  • Vérifier la validité de la requête qui vous est présentée ;

(La demande est-elle bien écrite ? La réglementation autorisant une telle demande est-elle citée ? La finalité de cette collecte est-elle précisée et justifiée au regard de la mission d’intérêt public poursuivie ? etc.).

  • Vérifier la qualité et la compétence des agents qui se présentent à vous ;
  • Organiser et encadrer le périmètre de leur contrôle ;
  • Conserver une traçabilité des échanges et des investigations réalisées, etc.

 

Nous vous conseillons de rédiger une procédure interne spécifique afin de gérer efficacement ce type de demandes, et de former vos collaborateurs à y réagir sans paniquer. Pour vous y aider, pour pouvez vous appuyer sur le Guide Pratique de CNIL

Il est important d’avoir les bons réflexes ! Si vous souhaitez vous faire accompagner dans vos démarches par une équipe de professionnel habituée à appréhender ces demandes de « tiers autorisés », nous vous invitons à prendre contact avec nos services via notre formulaire de contact : https://www.rgpd-experts.com/contactez-rgpd-experts/

L.H

[1] L’arrêt CJUE, n° C-175/20, « SS » SIA contre Valsts ieņēmumu dienests, 24 février 2022 est disponible dans son intégralité à l’adresse suivante : https://curia.europa.eu/juris/document/document.jsf?text=&docid=254583&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=35938

[2] Pour consulter la version complète de l’article 23 du RGPD, cliquez sur ce lien : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article23

[3] Art. (5)(1)(c) RGPD : « Les données à caractère personnel doivent être : […] c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ».

[4] Nous vous invitons à faire une lecture approfondie de l’article 23 du RGPD pour connaître précisément les droits des personnes concernées susceptibles de faire l’objet d’une telle limitation, ainsi que les enjeux justifiant ce type de dérogations.¨

[5] Cette expression de « tiers autorisés » désigne l’ensemble des autorités ou entités disposant d’un pouvoir légalement octroyé de réclamer de tels renseignements.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires