Édition internationale
Radio les français dans le monde
--:--
--:--

Effacement des données personnelles : nouvelle décision de la CJUE

La Cour de Justice de l’Union Européenne renforce l’efficacité accordée à la protection des données personnelles, en permettant aux autorités nationales de contrôle d’ordonner d’office l’effacement des données traitées de manière illicite. Ce qu'il y a à savoir pour les pays de l'UE, et plus spécifiquement en Italie et en France.

un homme tape sur un clavier d'ordinateur portableun homme tape sur un clavier d'ordinateur portable
Photo de Glenn Carstens-Peters sur Unsplash
Écrit par CastaldiPartners
Publié le 8 avril 2024, mis à jour le 10 juin 2024

Le 14 mars 2024, la Cour de Justice de l’Union Européenne (CJUE) a rendu une décision autorisant les autorités nationales de contrôle en matière de données personnelles à ordonner l’effacement de ces données lorsqu’elles font l’objet d’un traitement illicite, même en l’absence de demande préalable de la personne à qui se rapportent ces données, et ce, peu importe la source des données.
 

Exercer son droit à l’effacement des données à caractère personnel

Malgré son entrée en application en 2018, le Règlement européen Général sur la Protection des Données personnelles (RGPD), souffre encore d’une méconnaissance par le public et d’une application imparfaite. Pourtant, toute personne physique dispose de droits portant sur les données par lesquelles elle est identifiée ou identifiable : nom, prénom, date de naissance, adresse physique ou électronique, etc.  Ces données font l’objet de nombreuses utilisations, par des acteurs privés comme publics. Or, il est possible de demander à la personne qui traite vos données personnelles d’avoir accès à celles-ci, de les rectifier, de limiter ou de s’opposer à leur traitement, d’obtenir leur portabilité, mais aussi leur effacement (parfois communément assimilé au « droit à l’oubli »).
Jusqu’à présent, il était établi que, pour obtenir l’effacement de ses données personnelles, la personne concernée avait la possibilité de faire une demande directement auprès du responsable du traitement ou auprès de l’autorité nationale de contrôle.

En Italie, l’autorité en charge de ce contrôle est le Garante per la protezione dei dati personali, tandis qu’en France, ce rôle est assuré par la Commission nationale de l’informatique et des libertés (CNIL).
Or, par cette décision du 14 mars 2024, la CJUE précise les prérogatives dont disposent ces autorités indépendantes, en leur permettant d’ordonner d’office l’effacement des données au responsable de traitement.

 

L’administration hongroise condamnée pour non-respect du RGPD

Dans l’affaire portée devant les juges communautaires, l’administration municipale d’Újpest, en Hongrie, souhaitait offrir une aide financière à certains résidents fragilisés par la pandémie de COVID-19. Afin de vérifier l’éligibilité des résidents à cette aide, leurs données d’identification de base et leurs numéros de sécurité sociale ont notamment été récoltés auprès d’un bureau gouvernemental et du Trésor public hongrois.
Or, l’administration d’Újpest n’a pas fourni aux personnes concernées, dans un délai d’un mois, certaines informations pourtant obligatoires au sens du RGPD : les catégories de données personnelles traitées, les finalités du traitement et les modalités selon lesquelles les personnes pouvaient exercer leurs droits à cet égard.

L’autorité hongroise de contrôle de la protection des données personnelles a alors ordonné à l’administration d’Újpest d’effacer les données des personnes qui, certes, auraient eu droit à l’aide financière en cause, mais ne l’avaient pas demandée. Elle a également condamné l’administration d’Újpest et le Trésor public hongrois au paiement d’une amende.

Toutefois, l’administration d’Újpest considérait que l’autorité hongroise n’avait pas le pouvoir d’ordonner l’effacement des données personnelles en l’absence de demande présentée par la personne concernée. Après divers recours nationaux, cette question, tenant à l’interprétation du RGPD, fut portée devant la Cour de Justice de l’Union.

Cette dernière a alors conclu que l’autorité de contrôle disposait effectivement de ce pouvoir, même en l’absence de demande préalable de la personne concernée, et indépendamment du fait que les données aient été collectées auprès de la personne concernée ou d’un tiers. En effet, les juges ont rappelé qu’il appartient à l’autorité de contrôle de choisir le moyen le plus approprié afin de s’acquitter avec toute la diligence requise de sa mission, consistant à veiller au plein respect du RGPD.


Portée de la décision pour les individus et les entreprises

Pour les individus, cette décision des juges communautaires assure une protection renforcée, en permettant l’effacement des données personnelles des personnes inactives ou non informées du traitement. Cependant, la sensibilisation du public reste fondamentale. En effet, l’un des objectifs du RGPD est de permettre aux personnes concernées de conserver le contrôle sur leurs données personnelles, par la connaissance de leurs droits et de leurs modalités d’exercice.
Les responsables de traitement, quant à eux, doivent connaître et se conformer à la règlementation européenne et nationale relative à la protection des données personnelles. Cela leur permet d’assurer un traitement licite ainsi que de traiter de manière adéquate les éventuelles demandes d’exercice de droits des personnes concernées.

Rappelons qu’outre les mesures correctives, les autorités nationales disposent également d’un pouvoir de sanction. Or, en cas de traitement de données personnelles constituant une violation de la règlementation européenne, ces sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial du responsable.

 

En 2022, le montant total des amendes infligées par le Garante italien s’élevait à près de 9 millions et demi d’euros. La même année, l’autorité française, quant à elle, a prononcé 21 sanctions pour une somme totale de plus de 101 millions d’euros.

L’efficacité toujours plus importante de la protection des données personnelles

Près de six ans après son entrée en application, le Règlement Européen sur la Protection des Données personnelles voit son efficacité confortée par cette nouvelle décision de la Cour de Justice.
On remarque donc, après des premières années marquées par une démarche pédagogique et une incitation à la conformité, que les autorités européennes et nationales renforcent leur contrôle pour garantir l’application effective du RGPD. Ainsi, en 2022, le montant total des amendes infligées par le Garante italien s’élevait à près de 9 millions et demi d’euros. La même année, l’autorité française, quant à elle, a prononcé 21 sanctions pour une somme totale de plus de 101 millions d’euros.
Il est donc plus que jamais fondamental pour l’ensemble des acteurs de se familiariser avec les principes du RGPD afin d’assurer un traitement licite, loyal et transparent des données à caractère personnel.

Lola GARNIER
 

anne manuelle gaillet julie mary avocates italie

 

Flash infos

    Pensez aussi à découvrir nos autres éditions