On entend par «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art. 4 ch. 1 RGPD).

L’autorité de protection des données (APD) de Croatie (Agencija za zaštitu osobnih podataka), dans une décision du 16.11.2021, a eu à connaître d’une plainte dans laquelle le plaignant soulignait qu’une agence immobilière (responsable du traitement) avait publié sa photo prise lors de la visite d’un appartement mis en vente, sans son consentement et à son insu. La photo était disponible sur un site web public via un lien URL.

Le responsable de traitement avançait notamment, en défense, qu’il ne s’agissait pas d’une donnée à caractère personnel du plaignant, puisque la personne figurant sur la photo était vêtue d’une veste et un masque de protection, et n’était donc pas identifiable.

L’APD croate a rejeté la plainte en soulignant qu’il n’était pas possible de déterminer l’identité de la personne concernée à partir de la photo contestée. En particulier, l’évaluation de l’identité doit être fondée sur des facteurs objectifs et raisonnables, de sorte qu’une personne moyenne puisse déterminer de manière non équivoque, directement ou indirectement, l’identité d’un individu.

Or dans le cas d’espèce l’identité du plaignant était impossible à déterminer par des facteurs objectifs accessibles à une personne moyenne qui n’était pas une connaissance préalable du plaignant, et ce en regardant simplement la photo jointe. En effet, la photo n’était pas nette et le visage du plaignant n’était pas visible, car couvert en grande partie par un masque chirurgical.

Par conséquent, la photo en question ne pouvait pas être considérée comme une donnée à caractère personnel au sens de l’article 4 ch. 1 RGPD et le responsable de traitement n’était donc pas tenu de supprimer la supprimer.

(Décision originale : https://azop.hr/wp-content/uploads/2022/09/Rjesenje-objava-fotografije-na-oglasniku-za-promet-nekretnina.pdf; présentation et traduction en anglais : https://gdprhub.eu/index.php?title=AZOP_(Croatia)_-_Decision_of_16_November_2021_-_Real_Estate_Agency&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)