L’autorité de contrôle italienne a sanctionné un média pour avoir publié des données personnelles dans des articles en violation du principe de minimisation.
Un média en ligne a publié plusieurs articles comportant les données personnelles d’individus. Il pouvait s’agir, selon les articles, du nom, du prénom, de la photographie, de l’adresse, de l’activité professionnelle, du type de véhicule (y compris la plaque d’immatriculation) ou même de l’état de santé de ces individus.
Trois d’entre eux ont déposé une plainte auprès de l’autorité de contrôle italienne, considérant que le traitement de leurs données personnelles violait le RGPD.
Des informations d’intérêt public, selon le média
Pour sa défense, le média considérait que les informations fournies dans ses articles étaient « d’intérêt public » et, plus précisément, « visaient à porter à la connaissance du public des comportements illicites présumés des personnes concernées ».
L’autorité de contrôle a considéré, au contraire, que le média avait « divulgué, sur son site internet, une quantité de données à caractère personnel relatives aux plaignants excessive et superflue par rapport à la finalité informative que le traitement en question aurait dû poursuivre ».
Des informations contraires au principe de minimisation, selon l’autorité
Pour parvenir à cette conclusion, l’autorité de contrôle a appliqué le principe de minimisation et s’est demandée si, dans le cas d’espèce, les données personnelles étaient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, c’est-à-dire, en l’espèce, au regard de la finalité d’information du public.
L’autorité a, par exemple, considéré que la publication d’images montrant le domicile des personnes (quand bien même ces personnes sont des « personnalités publiques ») portait, en l’espèce, atteinte à leur vie privée et « dépassait le cadre de l’objectif informatif ».
L’autorité a, également, estimé que la publication de données de santé d’un homme politique n’était « pas pertinente » puisque l’information visait à alerter le public sur « des comportements adoptés dans l’exercice de ses fonctions ».
Compte tenu de ce qui précède, l’autorité de contrôle a considéré que le média avait enfreint le principe de minimisation, posé à l’article 5§1 c) du RGPD, et l’a condamné à payer une amende de 2000 € ainsi qu’à supprimer les « contenus éditoriaux » litigieux (sans préciser s’il convient de supprimer les articles ou simplement les données personnelles présentes dans les articles qui enfreignent le principe de minimisation).
Source : GPDP (Italie), 4 août 2025, 10166287