La personne concernée s’est plainte de l’ambassade de la République de N*** à Vienne (responsable du traitement) auprès de l’autorité autrichienne de protection des données (APD ; Datenschutzbehörde).

Dans le cadre des élections de N*** en 2022, une liste électorale comprenant le nom, la date de naissance et le numéro d’inscription sur les listes électorales de la personne concernée a été affichée à l’extérieur du bâtiment abritant les bureaux du responsable du traitement. Cette liste électorale était donc accessible au grand public.

L’objet de la plainte était la question de savoir si le responsable du traitement avait violé le droit au secret de la personne concernée en rendant public ses données à caractère personnel. Toutefois, avant que l’APD ne se penche sur la substance concrète de la plainte, elle a d’abord dû évaluer sa compétence dans une décision DSB – 2022-0.876.190 du 15.12.2022 présentée et commentée sur gdprhub avec un lien vers la décision originale : https://gdprhub.eu/index.php?title=DSB_(Austria)_-_2022-0.876.190.

L’APD a rejeté sa compétence.

Elle s’est appuyée pour ce faire sur deux arguments. L’un concerne les articles 55 et 56 du RGPD, l’autre se fonde sur la Convention de Vienne sur les relations diplomatiques (CVRD).

Tout d’abord, l’APD a procédé selon les dispositions du RGPD. Conformément à l’article 55, paragraphe 1, du RGPD, toute autorité de contrôle chargée de l’exécution des tâches et de l’exercice des pouvoirs qui lui sont conférés par le RGPD est compétente sur le territoire de son propre État membre. L’APD est donc l’autorité de contrôle responsable du territoire souverain de la République d’Autriche (voir l’article 18, paragraphe 1, de la loi autrichienne sur la protection des données).

Néanmoins, dans le cas présent, l’APD a noté que la plainte était dirigée contre l’ambassade d’un pays tiers. Elle a souligné que le droit international moderne ne reprend pas la notion d’extraterritorialité des locaux diplomatiques. Par conséquent, l’ambassade de la République de N*** se trouvant à Vienne, elle fait partie du territoire autrichien et l’autorité de protection des données responsable du traitement des données dans l’ambassade serait donc, en principe, l’APD conformément à l’article 55, paragraphe 1, du RGPD.

Toutefois, l’APD a également examiné l’exception prévue à l’article 55, paragraphe 2, du RGPD, qui stipule que les autorités locales de protection des données ne sont pas responsables si le traitement est effectué par des autorités ou des organismes privés dans d’autres États membres sur la base de l’article 6, paragraphe 1, points c) ou e), du RGPD [le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis (let. c) ; le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (let. e)]. Dans ce cas, l’autorité de protection des données de l’État membre concerné [qui effectue donc le traitement en Autriche] est responsable et la procédure prévue à l’article 56 du RGPD ne s’applique pas. Il s’ensuit que l’APD n’est pas compétente à l’égard des autorités publiques ou des organismes privés dont le traitement des données est imputable à un autre État membre, en l’occurrence ici la République de N***.

L’APD a aussi procédé à un examen sous l’angle de la CVRD, que l’Autriche et la République de N*** ont toutes deux ratifiées.

L’APD a noté que la CVRD prévoit des privilèges et des immunités pour les missions et le personnel diplomatique en ce qui concerne l’exercice de l’autorité de l’État accréditant (voir, par exemple, les articles 22 et 31). En vertu de l’article 31, paragraphe 1, CVRD, les diplomates jouissent de l’immunité de juridiction pénale, civile et administrative dans l’État accréditaire, même si, en vertu de l’article 41, paragraphe 1, ils sont tenus de se conformer aux lois et autres réglementations juridiques du pays destinataire.

Étant donné qu’en vertu de l’art. 31 CVRD, l’ambassadeur ou la mission placée sous l’autorité de la République de N*** ne peuvent être poursuivis par l’APD en raison de leur immunité de juridiction, la plainte de la personne concernée a été rejetée.

Me Philippe Ehrenström, avocat, LLM, CAS