La notion d’« obligation légale » en tant que base légale d’un traitement de données à caractère personnel a récemment été interprétée de façon extensive par la CJUE. Cette dernière a effectivement considéré que cette notion « couvre la jurisprudence nationale ».
Rappel des principes : l’« obligation légale » comme base légale d’un traitement
Pour mémoire, tout traitement de données à caractère personnel doit reposer sur une des six bases légales prévues par le RGPD, parmi lesquelles figure le respect d’une obligation légale[1]. Cette obligation légale doit être définie « par le droit de l’Union » ou « par le droit de l’Etat membre auquel le responsable de traitement est soumis »[2]. Dans les deux cas, ce droit doit répondre à « un objectif d’intérêt public » et être « proportionné à l’objectif légitime poursuivi ».
La CNIL précise encore que « ces dispositions légales » doivent établir « une obligation impérative de traiter des données personnelles, suffisamment claire et précise ». Ces dispositions légales doivent également « au moins » définir les finalités du traitement en cause[3].
A titre d’exemple, la loi Sapin 2, en imposant à certains organismes la mise en œuvre d’un dispositif de recueil d’alertes pour révéler un manquement à certaines règles, constitue une obligation légale fondant le traitement de données personnelles réalisé dans le cadre de l’utilisation d’un tel dispositif (dans les conditions et limites précisées par la règlementation).
L’affaire soumise à la CJUE : le périmètre de l’obligation légale en question
Des sociétés d’investissement, associées d’un fonds d’investissement (faisant appel public à l’épargne), souhaitaient obtenir la communication des noms et adresses des autres associés détenant des participations indirectes (via des sociétés fiduciaires) dans le fonds.
Les sociétés fiduciaires concernées s’opposaient à une telle divulgation de données à caractère personnel, considérant que cette demande ne viserait notamment qu’« à servir les intérêts économiques propres des [demanderesses] (…)». Elles soutenaient également que les contrats de participation et fiducie contiennent des clauses interdisant la communication de ces données à d’autres détenteurs de participation. Les demanderesses estimaient, quant à elles, avoir pour seule intention de prendre contact avec les autres associés afin de négocier le rachat de leurs parts.
A cette occasion, la juridiction allemande saisie du litige s’est interrogée sur l’existence d’une obligation légale de divulguer ce type de données personnelles, obligation qui se déduirait de la jurisprudence nationale. En effet, une décision de justice allemande considère comme nulles les clauses garantissant la confidentialité des coordonnées des associés indirects de ce type de société « de sorte qu’il y aurait lieu de divulguer les données à caractère personnel [desdits] associés (…) ».
A cette occasion, la CJUE s’est prononcée sur le point de savoir si une jurisprudence nationale peut, par principe, constituer une base légale pour fonder un traitement de données à caractère personnel.
La solution : l’« obligation légale » peut inclure la jurisprudence
Selon la CJUE, « le droit de l’Etat membre auquel le responsable de traitement est soumis » inclut la jurisprudence nationale[4]. Encore faut-il, précise la CJUE, que cette jurisprudence soit (i) claire et précise et (ii) appliquée de manière prévisible pour les justiciables. Comme toute obligation légale, cette jurisprudence doit, à l’évidence, répondre également à un objectif d’intérêt public et être proportionnée à celui-ci, étant encore rappelé que « le traitement concerné [doit être] opéré dans les limites du strict nécessaire ». Le respect de ces critères est laissé à l’appréciation du juge national.
Jusqu’à présent, on savait que l’obligation légale devait découler d’un texte (loi, règlement, etc.) prévoyant/autorisant un traitement de données à caractère personnel. A l’appui de cette décision, cette obligation peut donc aussi résulter de la jurisprudence, ce qui ouvre le champ des possibles avec toutefois des incertitudes.
En particulier, comment le juge français appréciera, dans une jurisprudence, le caractère impératif de l’obligation de traiter des données personnelles ou encore la définition des finalités ? Y aura-t-il plus de souplesse que dans l’interprétation d’un texte de loi ? On l’ignore encore…
Dans l’attente de décisions rendues par les juridictions nationales ou une nouvelle jurisprudence de la CJUE, la prudence reste de mise.
A suivre…
Source : ici
[1] Article 6 paragraphe 1 c) du RGPD.
[2] Article 6 paragraphe 3 du RGPD.
[3] Voir également article 6 paragraphe 3 du RGPD.
[4] Pour ce faire, la CJUE s’est fondée sur le considérant 41 du RGPD selon lequel « une base juridique ou (…) une mesure législative, (…) ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée ». « Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour et de la Cour européenne des droits de l’homme ».