Divulgation indirecte de données sensibles

Photo de Sebastiaan Stam sur Pexels.com

Dans un arrêt du 1er août 2022 (affaire C‑184/20, ECLI:EU:C:2022:601), la CJUE (grande chambre) statue, sur demande de décision préjudicielle (art.  267 TFUE), introduite par le Vilniaus apygardos administracinis teismas (tribunal administratif régional de Vilnius, Lituanie), concernant une réglementation nationale imposant la publication sur Internet de données contenues dans les déclarations d’intérêts privés de personnes physiques travaillant dans le service public ou de dirigeants d’associations ou d’établissements percevant des fonds publics. J’ai déjà présenté les grandes lignes de cet arrêt ici : https://droitdutravailensuisse.com/2022/08/02/mise-en-ligne-de-declarations-dinterets/

Je crois utile de revenir sur la seconde partie de cet arrêt [§ 117 et ss], qui concerne plus spécifiquement ce qu’il faut entendre par données sensibles au sens de l’art. 9 par. 1 RGPD, particulièrement la divulgation indirecte de telles données :

La juridiction de renvoi demande, en substance, si l’article 9, paragraphe 1, du RGPD doit être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement les opinions politiques, l’appartenance syndicale ou l’orientation sexuelle d’une personne physique constitue un traitement portant sur les catégories particulières de données à caractère personnel, au sens de ces dispositions.

En vertu de l’article 9, paragraphe 1, du RGPD, sont interdits, notamment, le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale ainsi que le traitement des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. Il s’agit, selon l’intitulé de ces articles, de catégories particulières de données à caractère personnel, ces données étant également qualifiées de «données sensibles».

En l’occurrence, bien que les données à caractère personnel dont la publication est obligatoire en application de l’article 10, paragraphe 1, de la loi [lituanienne] sur la conciliation des intérêts ne constituent pas, par leur nature, des données sensibles au sens du RGPD, la juridiction de renvoi estime qu’il est possible de déduire, à partir des données nominatives relatives au conjoint, au concubin ou au partenaire du déclarant certaines informations sur la vie ou l’orientation sexuelle du déclarant et de son conjoint, concubin ou partenaire.

Dans ces conditions, il y a lieu de déterminer si des données qui sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, l’orientation sexuelle d’une personne physique relèvent des catégories particulières de données à caractère personnel, au sens de l’article 9, paragraphe 1, du RGPD.

À cet égard, selon une jurisprudence constante, en vue de l’interprétation d’une disposition du droit de l’Union, il y a lieu de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie.

L’article 9, paragraphe 1, du RGPD dispose que sont interdits, notamment, le traitement des données à caractère personnel qui « révèle » l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données « concernant » la santé ou des données « concernant » la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Si l’emploi du verbe « révéler » s’accorde avec la prise en compte d’un traitement portant non seulement sur des données intrinsèquement sensibles, mais également sur des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature, la préposition « concernant » et l’adjectif « relative » semblent, au contraire, impliquer l’existence d’un lien plus direct et immédiat entre le traitement et les données concernées, envisagées dans leur nature intrinsèque.

Une telle interprétation, qui conduirait à opérer une distinction en fonction du type de données sensibles en cause, ne serait toutefois pas en cohérence avec une analyse contextuelle de ces dispositions, en particulier avec l’article 4, point 15, du RGPD, aux termes duquel constituent des « données concernant la santé » les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui « révèlent » des informations sur l’état de santé de cette personne, ainsi qu’avec le considérant 35 de ce règlement, qui énonce que les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui « révèlent » des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée.

En outre, une interprétation large des notions de « catégories particulières de données à caractère personnel » et de « données sensibles » est confortée par l’objectif de la directive 95/46 et du RGPD qui est de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel les concernant.

L’interprétation contraire irait, qui plus est, à l’encontre de la finalité de l’article 8, paragraphe 1, de la directive 95/46 et de l’article 9, paragraphe 1, du RGPD, consistant à assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données qui en sont l’objet, sont susceptibles de constituer, ainsi qu’il ressort du considérant 33 de la directive 95/46 et du considérant 51 du RGPD, une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte.

« Par conséquent, ces dispositions ne sauraient être interprétées en ce sens que le traitement de données à caractère personnel susceptibles de dévoiler, de manière indirecte, des informations sensibles concernant une personne physique est soustrait au régime de protection renforcé prévu par lesdites dispositions, sauf à porter atteinte à l’effet utile de ce régime et à la protection des libertés et des droits fondamentaux des personnes physiques qu’il vise à assurer. » [§127]

« Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 8, paragraphe 1, de la directive 95/46 et l’article 9, paragraphe 1, du RGPD doivent être interprétés en ce sens que la publication, sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique constitue un traitement portant sur des catégories particulières de données à caractère personnel, au sens de ces dispositions. » [§128]

Source : https://curia.europa.eu/juris/document/document.jsf?text=&docid=263721&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=345786

Comme le relève le Dr Gabriela Zanfir-Fortuna, l’interprétation élargie de l’art. 9 par. 1 RGPD contenue dans cet arrêt peut aussi être rapproché d’une décision de l’autorité de protection des données norvégienne dans l’affaire Grindr LLC :

Cf. Natasha Lomas, Sensitive data ruling by Europe’s top court could force broad privacy reboot,

https://techcrunch-com.cdn.ampproject.org/c/s/techcrunch.com/2022/08/02/cjeu-sensitive-data-case/amp/ et

https://www.datatilsynet.no/en/regulations-and-tools/regulations/avgjorelser-fra-datatilsynet/2021/gebyr-til-grindr/

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s