Pour les PME -TPE, l’annonce de l’entrée en vigueur du RGPD donne des cauchemars à leurs dirigeants. Pourtant, ce n’est pas un grand saut dans le vide. Nous intervenons ainsi tout particulièrement auprès de ces entreprises qui n’ont pas des ressources internes suffisantes, notre objectif est de mettre en oeuvre des solutions pragmatiques. 

En bien des points le RGPD reprend des dispositions de la directive 95/46, mais son enseignement sera-t-il conservé après mai 2018. ? Arrêtons-nous sur l’action en justice qui nécessite de connaître l’adresse de la personne adverse et dont l’accès a donné lieu à l’arrêt de la Cour de justice du 4 mai 2017, l’arrêt est. Certes une  telle finalité est totalement différente de ce que les entreprises font des données personnelles de leurs clients, mais parce que le recours au juge est un droit fondamental, confronter ce droit fondamental à celui du consentement de la personne dont les données personnelles sont requises permet de mesurer l’ampleur du changement introduit par le RGPD.

Le RGPD organise de subtils équilibres entre les modalités du consentement de la personne concernée à l’accès aux données personnelles la concernant, la finalité de cet l’accès et la nature des données concernées.  Des solutions existaient avec la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Mais ces solutions seront-elles encore applicables à partir de mai 2018 ?

Pour certaines données, le RGPD prévoit un régime d’interdiction sauf certaines exceptions expressément prévues. Parmi ces exceptions,  – c’est-à-dire la finalité du traitement -, l’action en justice.  L’article 9,f) du RGPD porte sur la possibilité d’un traitement dont la finalité est l’action en justice pour des données dont l’accès est a priori interdit .

Article 9 – Traitement portant sur des catégories particulières de données à caractère personnel

  1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
  2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie

      a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union ou le droit de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;

b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;

c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement;

d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;

e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;

f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;

g) le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;

h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l’Union, du droit d’un État membre ou en vertu d’un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;

i) le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;

j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l’article 89, paragraphe 1, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

De telles données étaient déjà placées sous un régime d’interdiction d’accès à l’article 8 de la directive 95/46 du 24 octobre 1995, avec le tempérament de l’action en justice au point e.

Article 8

Traitements portant sur des catégories particulières de données

  1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.
  2. Le paragraphe 1 ne s’applique pas lorsque:

a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée

ou

b) le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates

ou

c) le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement

ou

d) le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées

ou

e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

3. Le paragraphe 1 ne s’applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.

4.Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d’intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l’autorité de contrôle.

5.Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l’État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l’autorité publique.

6.Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.

7.Les États membres déterminent les conditions dans lesquelles un numéro national d’identification ou tout autre identifiant de portée générale peut faire l’objet d’un traitement.

Mais qu’en est-il pour les autres données qui ne figurent pas à la liste des données dont l’accès est interdit, leur accès est-il limité au consentement de la personne concernée même quand un tiers veut engager une action en justice et qui pour cette action a besoin de cette donnée personnelle ? Certes, le  RGPD donne quelques précisions aux articles 18 et 21, mais répondent-elles à toutes les situations ? .

En se reportant toujours à la directive 95/46,  « Principes relatifs à la légitimation des traitements de données », l’article 7 de cette directive dispose :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)      la personne concernée a indubitablement donné son consentement

ou

b)      il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci

ou

c)       il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

ou

d)       il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

ou

e)       il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f)      il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1. »

Illustration de ces données personnelles dont l’accès est nécessaire pour engager une action en justice avec l’arrêt de la Cour de justice du 4 mai 2017.

Les faits à l’origine :

Un simple accident matériel de la circulation en Lettonie : le passage d’un taxi en ouvrant sa portière heurte un tramway. La Cie de tramway qui s’est vue refusée toute indemnisation par l’assurance du taxi, souhaite engager une procédure civile contre le passager.

Si la Cie de tramway obtient de la police les nom et prénom du passager du taxi, un refus lui est opposé à ses demandes pour l’adresse et son numéro d’identification. La Cie de tramway dépose un recours contre ce refus, recours accepté mais qui fait l’objet d’un pourvoi en cassation par la police.  La juridiction suprême lettone interroge la Cour de justice sur la notion de nécessité de l’article 7,f ) de la directive.

La Cour de justice vérifie que les informations demandées sont des données personnelles et que la police à laquelle la demande de communication d’informations a été adressée, est bien le responsable du traitement au sens de la directive.

24      Dans l’affaire au principal, il est constant que le numéro d’identification et l’adresse du passager du taxi, dont Rīgas satiksme demande la communication, constituent des informations concernant une personne physique identifiée ou identifiable et, partant, des « données à caractère personnel » au sens de l’article 2, sous a), de la directive 95/46. Il est également constant que la police nationale, à laquelle cette demande a été adressée, est le responsable du traitement de ces données et, notamment, de leur communication éventuelle, au sens de l’article 2, sous d), de cette directive.

La Cour de justice rappelle l’exigence du respect des droits et libertés fondamentaux de la personne, préoccupation que se retrouve au RGPD.

    Il ressort ainsi de l’économie de la directive 95/46 et du libellé de l’article 7 de celle-ci que l’article 7, sous f), de la directive 95/46 ne prescrit pas, en soi, une obligation, mais exprime une faculté d’effectuer le traitement de données tel que la communication à un tiers de données nécessaires à la réalisation d’un intérêt légitime poursuivi par celui-ci. Ainsi que l’a souligné M. l’avocat général aux points 43 à 46 de ses conclusions, une telle interprétation peut également être déduite d’autres instruments du droit de l’Union ayant trait aux données à caractère personnel .

27      Il convient, toutefois, d’observer que l’article 7, sous f), de la directive 95/46 ne s’opposerait pas à une telle communication, dans l’hypothèse où celle-ci serait effectuée sur la base du droit national, en respectant les conditions prévues par cette disposition.

28      À cet égard, l’article 7, sous f), de la directive 95/46 prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas.

La nécessité  du traitement, c’est-à-dire que la police procède à une extraction des données personnelles du passager du taxi et les communique à la Cie du Tramway à savoir son adresse et son n° d’identification.

30      S’agissant de la condition relative à la nécessité du traitement des données, il y a lieu de rappeler que les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire…..À cet égard, il y a lieu de constater que, selon les indications fournies par la juridiction de renvoi, la communication des seuls nom et prénom de la personne auteur du dommage ne permet pas d’identifier celle-ci avec suffisamment de précision pour pouvoir l’assigner en justice. Ainsi, il paraît nécessaire d’obtenir à cette fin également l’adresse et/ou le numéro d’identification de cette personne.

31      Enfin, concernant la condition d’une pondération des droits et des intérêts opposés en cause, elle dépend, en principe, des circonstances concrètes du cas particulier…..

32      À cet égard, la Cour a jugé qu’il est possible de prendre en considération le fait que la gravité de l’atteinte aux droits fondamentaux de la personne concernée par ledit traitement peut varier en fonction de la possibilité d’accéder aux données en cause dans des sources accessibles au public ….

….

34      Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.

C’est ce qui dit la Cour par son arrêt du :

L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.

Si la directive n’obligeait pas cette communication de données personnelles à un tiers pour qu’il engage une action en justice, l’accord de la personne concernée était requis sauf si une loi nationale en avait disposé autrement. Comme le RGPD s’applique sans loi de transposition et qu’il souhaite une application uniforme dans l’ensemble de l’Union, l’accès à ces données personnelles nécessaires à une action en justice devrait être toujours conditionné à l’accord de la personne concernée si effectivement l’enseignement de la jurisprudence antérieure est  maintenu après mai 2018.