Le 1er août 2022, la Cour de Justice de l’Union Européenne (CJUE) a répondu à plusieurs questions préjudicielles portant sur l’interprétation des articles 6 (licéité du traitement) et 9 (traitement portant sur des catégories particulières de données à caractère personnel) du RGPD.
Qu’est-ce qu’une question préjudicielle ?
La question préjudicielle a été posée à la Cour de Justice de l’Union Européenne (CJUE) par le Vilniaus Apygardos Administracinis Teismas (Tribunal Administratif Régional de Vilnius, Lituanie), par décision du 31 mars 2020.
Il s’agit de questions que peuvent poser les juges de tribunaux administratifs, judiciaires ou constitutionnels des pays membres de l’Union Européenne lorsqu’ils doivent rendre une décision sur le fondement d’un acte européen et s’interrogent sur l’interprétation qu’ils doivent faire de cet acte.
La CJUE recevant la question préjudicielle interprète alors le texte concerné et rend sa décision, qui s’imposera au tribunal.
En l’occurrence, la question préjudicielle portait sur l’interprétation de deux articles du RGPD :
l’article 6, paragraphe 1.e, au titre duquel le traitement des données personnelles peut se fonder sur l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
l’article 9, paragraphe 1, au titre duquel le traitement des données dites “sensibles” (opinions, condamnations, données de santé, etc.) est interdit.
La demande d’interprétation
Selon la loi Lituanienne, toute personne travaillant dans le service public ou postulant à des fonctions dans le service public doit déposer une déclaration d’intérêt privé.
Le litige est né de l’absence d’une déclaration d’intérêt privé : la Haute Commission (l’autorité publique lituanienne chargée de recueillir et de contrôler les déclarations d’intérêt privé) a constaté que le directeur d’un établissement privé n’avait pas réalisé de déclaration.
Parmi les différents arguments du recours du directeur d’établissement, celui-ci invoquait notamment que la réalisation d’une telle déclaration, alors qu’il n’était à ses dires pas chargé d’une mission de service public, constituerait une ingérence dans sa vie privée et celle de son conjoint.
La Haute Commission demande a écarter le premier argument, répondant que le directeur était concerné par l’obligation de déclaration en ce que son établissement bénéficiait de fonds structurels de l’UE et de l’Etat Lituanien, même s’il n’était pas fonctionnaire.
Le second argument tiré de la protection des données et du respect de la vie privée fait cependant douter le tribunal quant à la comptabilité du cadre légal lituanien, relatif à la conciliation des intérêts, avec le cadre réglementaire européen de la protection des données (RGPD).
En effet, la déclaration portant aussi sur des informations relatives à l’entourage proche du déclarant (famille, conjoint, enfants, …) et faisant l’objet d’une publication, au moins partielle, sur Internet, elle est susceptible de dévoiler au public des données très personnelles voire sensibles (par exemple, l’orientation sexuelle du déclarant et de son conjoint, ou certains détails non essentiels de la vie privée familiale du déclarant).
Le tribunal en charge de l’affaire a décidé de surseoir à statuer en attendant que la CJUE réponde à ses questions :
le fondement prévu à l’article 6 paragraphe 1, e) du RGPD selon lequel un traitement de données peut avoir lieu lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement permet il de justifier la divulgation sur Internet des données traitées ?
la divulgation sur Internet des données personnelles sensibles susceptibles de fournir des indications sur les opinions politiques ou syndicales, ou l’orientation sexuelle d’une personne, peut elle être considérée comme proportionnelle (au sens de l’article 9 paragraphe 1 du RGPD) aux objectifs poursuivis par le droit national lituanien en matière de conciliation des intérêts et de prévention de la corruption dans le service public ?
La réponse de la CJUE
La CJUE rappelle d’abord que :
le caractère professionnel d’une information, ou le contexte professionnel dans lequel une information s’inscrit n’empêche pas sa qualification en tant que donnée à caractère personnel (arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197) :
la publication des données à caractère personnel sur un site Internet constitue un traitement de données à caractère personnel (arrêt du 1er octobre 2015, Weltimmo, C‑230/14, EU:C:2015:639).
Ainsi la pertinence des questions d’interprétation du RGPD posées par le tribunal lituanien à la CJUE est confirmée.
La CJUE rappelle ensuite que le traitement des données, et notamment leur publication, saurait être fondé sur l’exercice d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, tant qu’il est prévu par le droit de l’UE ou le droit d’un Etat Membre et qu’il est proportionné aux objectifs poursuivis (des gardes fous et des limitations doivent être prévus pour proportionner les moyens mis en œuvre pour atteindre l’objectifs de la mission d’intérêt public tout en protégeant les droits fondamentaux de la personne concernée).
En l’occurrence, la CJUE relève que la proportionnalité des traitements et des mesures de publication des données au regard des objectifs d’intérêt public à atteindre doit s’apprécier :
différemment selon les Etats Membres, leur législation, et la proéminence des actes de corruption en leur sein ;
au regard du principe de minimisation des données ;
au regard du type de données à caractère personnel faisant l’objet du traitement, et le cas échéant de leur caractère sensible.
De plus, la CJUE se prononce sur le caractère sensible ou non des données permettant de révéler indirectement des informations relatives à la santé, aux opinions ou à l’orientation sexuelle des personnes concernées.
En l’occurrence, si les données récoltées dans le cadre de la déclaration d’intérêt privé ne sont pas directement sensibles, la CJUE relève qu’un effort intellectuel permettrait de déduire des informations particulièrement sensibles concernant la personne concernée, et notamment son orientation sexuelle, le sexe de son partenaire / concubin / conjoint étant présent ou pouvant être déduit.
Dans un objectif d’assurer une protection optimale des droits des personnes concernées, la CJUE ajoute que dès lors qu’une donnée ou qu’un ensemble de données est susceptible de fournir, même indirectement et par effort de déduction, des indications relatives aux opinions philosophiques, religieuses, syndicales, l’orientation sexuelle ou la santé de la personne, les données devraient alors être considérées comme des données sensibles au sens de l’article 9 du RGPD, et leur traitement par conséquent interdit en dehors des exceptions prévues par le même article.
La CJUE juge ainsi que, si des mesures de récolte et de publication des données pouvaient être considérées comme proportionnées au regard des objectifs de lutte contre la corruption, la publication des données telle que prévue par le droit lituanien était bien disproportionnée au regard des objectifs poursuivis, en raison notamment de la présence de données sensibles (données permettant par effort de déduction de connaître l’orientation sexuelle de la personne concernée) et de données précises concernant d’autres personnes que le déclarant sans que ces données ne participent raisonnablement à l’atteinte des objectifs poursuivis (les données n’étaient pas “minimisées” au sens de l’article 5 du RGPD).