Par un arrêt du 5 décembre 2023, la Cour de justice de l’Union européenne (CJUE) a estimé que le Centre national de santé publique (CNSP) lituanien pouvait bien être qualifié de responsable du traitement, s’agissant des traitements de données personnelles réalisés au moyen d’une application mobile développée par un de ses prestataires, alors même que le CNSP ne traite lui-même aucune donnée personnelle. Nos avocats en droit de la e-santé vous aident à y voir plus clair.
Un traitement entièrement délégué
Dans le cadre de la pandémie provoquée par le virus de la COVID-19, le ministre de la Santé de Lituanie a ordonné au Centre national de santé publique (CNSP) de faire l’acquisition d’un système informatique permettant l’enregistrement et le suivi des données des personnes exposées à ce virus.
Le CNSP a donc fait appel à un prestataire afin de développer une application mobile.
Par le biais de cette application, étaient notamment collectées les données suivantes des utilisateurs : le numéro d’identité, les coordonnées géographiques (latitude et longitude), le pays, la ville, le code postal, le nom de rue, le numéro de l’immeuble, le nom, le prénom, le code personnel et le numéro de téléphone.
Alors que l’application était en phase d’essais sur des données réelles, le processus d’acquisition de l’application, par le CNSP, a avorté.
L’autorité de contrôle Lituanienne a néanmoins estimé que le CNSP est le responsable du traitement réalisé au moyen de l’application et l’a condamné à une amende administrative de 12.000 € pour divers manquements au RGPD. Le CNSP, estimant ne pas être responsable du traitement, a formé un recours contre cette décision, ce qui a abouti à la saisine de la CJUE.
La qualification de responsable du traitement confirmée par la CJUE
La juridiction nationale compétente pour connaitre du recours du CNSP a posé, en substance, la question suivante à la CJUE :
Une entité prévoyant d’acquérir un outil de collecte de données, à savoir l’application mobile en cause, doit-elle être considérée comme responsable du traitement, s’agissant des données personnelles utilisées dans le cadre d’essais, alors qu’elle n’a aucun droit de propriété sur l’outil de collecte de données et ne procède pas elle-même au traitement de données ?
La CJUE a répondu : « pour établir si une entité, telle que le CNSP, peut être considérée comme étant responsable du traitement au sens de l’article 4, point 7, du RGPD, il convient d’examiner si cette entité a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement ».
Dans la mesure où le CNSP (i) a commandé l’application en cause, (ii) a prévu que des données personnelles soient traitées aux fins de gestion de la pandémie de COVID-19 au moyen de ladite application et (iii) a joué un rôle actif dans la détermination des questions posées dans l’application, et de leur formulation, la CJUE a estimé que le CNSP a effectivement participé à la détermination des finalités et des moyens du traitement.
La CJUE considère comme indifférents : le fait que le CNSP n’ait pas lui-même traité de données personnelles, le fait qu’il n’y avait pas contrat entre le CNSP et le prestataire en charge du développement de l’application et le fait que le CNSP n’ait pas acquis l’application mobile en cause, ni autorisé la diffusion de l’application par la boutique en ligne.
Lien vers la décision : https://urlz.fr/peOP
