La CJUE s’est récemment prononcée sur la notion de finalité « compatible » d’un traitement de données réalisé sans le consentement des personnes concernées et ce, afin d’apprécier la légalité d’un tel traitement.
En raison d’une défaillance technique affectant le fonctionnement d’un de ses serveurs, une société fournissant des services internet et de télévision, la société Digi, a créé une base de données « tests », dans laquelle elle a copié des données personnelles de certains de ses clients. Ces données copiées étaient conservées, par ailleurs, dans une autre base de données, plus opérationnelle contenant (i) les données des personnes s’étant inscrites à la lettre d’actualité de la société Digi et (ii) des données d’administrateur système donnant accès à l’interface de son site.
La société Digi a fait l’objet d’une sanction (200.000 € d’amende) prononcée par l’autorité de protection des données hongroise pour violation du principe de « limitation des finalités » (principe selon lequel les données personnelles doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités) et du principe de « limitation de la conservation des données » (principe selon lequel les données personnelles doivent être conservées sous une forme permettant d’identifier les personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées), deux principes consacrés par l’article 5 du RGPD.
En effet, la société Digi a supprimé la base « tests » seulement 18 mois après avoir corrigé la défaillance technique.
Contestant la position de la « CNIL » hongroise, la société Digi a formé un recours devant la juridiction locale laquelle s’est tournée vers la CJUE en interprétation notamment du principe de la « limitation des finalités » au sens du RGPD.
Dans son arrêt du 20 octobre dernier, la CJUE a jugé que la « limitation des finalités » ne s’oppose pas, par principe, à l’enregistrement et la conservation par le responsable de traitement dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données personnelles préalablement collectées et conservées dans une autre base de données. Toutefois, la CJUE a souligné qu’un tel traitement doit être compatible avec les finalités spécifiques pour lesquelles les données personnelles ont été initialement collectées et ce, conformément à l’article 6.4 du RGPD (relatif aux conditions de licéité d’un traitement (i) à une fin autre que celle pour laquelle les données ont été collectés et (ii) intervenant sans le consentement de la personne concernée).
Si cette appréciation revient à la juridiction nationale, la CJUE a apporté des clés d’appréciation. La CJUE a ainsi relevé que la réalisation de tests et la correction d’erreurs affectant la base de données client présente un lien concret avec l’exécution des contrats d’abonnements de la société Digi. En effet, ces erreurs sont susceptibles d’être dommageables pour la fourniture du service contractuellement prévu et pour laquelle les données ont été initialement collectées. Pour les juges européens, ce traitement ne s’écarte ainsi pas des attentes légitimes des clients quant à l’utilisation ultérieure de leurs données. En outre, la CJUE a relevé que la « CNIL » hongroise n’a pas fait état de données sensibles figurant dans cette base, ni de conséquences dommageables de ce traitement ultérieur pour les clients, pas plus que d’une absence de garanties appropriées prises par la société Digi.
En revanche et sans surprise, la CJUE a jugé que le principe de la « limitation de la conservation » s’oppose à la conservation par le responsable de traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, des données personnelles préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.
Cette décision illustre l’approche concrète que doivent suivre les juges pour apprécier une finalité « compatible » au sens du RGPD, approche particulièrement précieuse pour l’analyse de la légalité de traitements de données « ultérieur ».
Lien vers la décision : ici
