La Cour de justice de l’Union européenne, par un arrêt rendu le 14 mars 2024, précise l’étendue des missions confiées aux autorités de protection. Un responsable de traitement a utilisé des informations de manière non conforme aux exigences légales sans aucune intervention des personnes physiques. L’autorité de contrôle a ordonné la suppression des données litigieuses devant le Tribunal de la capitale de Budapest siégeant en Hongrie. La juridiction de renvoi s’interroge sur la possibilité d’imposer un effacement d’office lorsque le droit à l’oubli n’est pas expressément invoqué. La question juridique porte sur l’autonomie des mesures correctrices prévues par le règlement général sur la protection des données face aux droits des individus. La Cour juge que l’autorité peut ordonner l’effacement des données traitées de façon illicite sans qu’une demande préalable ne soit nécessaire.
I. L’affirmation d’un pouvoir d’injonction autonome de l’autorité de contrôle
A. Le détachement de la mesure corrective de l’exercice des droits individuels L’arrêt souligne que les pouvoirs de l’autorité de contrôle ne dépendent pas systématiquement de la volonté exprimée par les titulaires des données personnelles. La Cour considère que « l’autorité de contrôle d’un État membre est habilitée (…) à ordonner au responsable du traitement ou au sous-traitant d’effacer des données ». Cette compétence s’exerce même « alors qu’aucune demande n’a été présentée à cet effet par la personne concernée » en application des dispositions du règlement. L’interprétation retenue privilégie une approche fonctionnelle des outils de régulation afin de garantir le respect effectif des principes fondamentaux de la protection. Le juge européen sépare clairement les droits subjectifs des administrés et les prérogatives de police administrative dont disposent les autorités de surveillance.
B. La primauté de la légalité du traitement sur l’initiative de la personne concernée La décision renforce la mission de surveillance des autorités publiques qui doivent veiller au maintien constant de la légalité des opérations de traitement. L’absence d’action de la part de l’individu ne saurait couvrir une irrégularité constatée par l’organe de contrôle dans l’exercice de ses fonctions. Le commentaire de la Cour met en lumière la nécessité d’une réponse corrective proportionnée face à un « traitement illicite » de données privées. Cette solution assure une application uniforme du droit de l’Union européenne sur l’ensemble du territoire en évitant toute passivité préjudiciable des responsables. La protection des citoyens devient un impératif objectif dont la mise en œuvre incombe principalement aux structures étatiques de régulation et de contrôle.
II. L’extension matérielle de l’obligation d’effacement des données illicites
A. L’indifférence manifeste quant à l’origine des données à caractère personnel Le juge européen précise ensuite que l’origine des informations n’exerce aucune influence sur la mise en œuvre du pouvoir d’effacement par l’autorité. Selon les motifs de la décision, ce pouvoir « peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source ». Cette distinction technique, présente dans les mécanismes de collecte, s’efface devant la nécessité absolue de faire cesser une atteinte aux droits fondamentaux. L’arrêt garantit que toute donnée traitée illégalement, quel que soit son mode d’acquisition initial, puisse faire l’objet d’une mesure de suppression immédiate. L’uniformisation de la sanction permet de couvrir l’intégralité des flux d’informations circulant sous la responsabilité d’un organisme public ou d’une entité privée.
B. La consolidation de l’effectivité des pouvoirs de régulation de l’autorité La solution retenue par la Cour de justice de l’Union européenne confère une portée concrète et robuste aux interventions des autorités de contrôle. En permettant une action spontanée, le droit européen assure que les traitements illégaux ne perdurent pas faute de vigilance ou de moyens des citoyens. La cohérence du système de protection repose sur cette capacité d’intervention directe qui ne souffre aucune limitation liée à la provenance des données. L’autorité de contrôle dispose désormais d’un levier puissant pour restaurer l’ordre juridique sans attendre la manifestation d’un préjudice individuel par les victimes. Cette jurisprudence confirme la volonté du législateur européen de placer les autorités de surveillance au centre du dispositif de garantie des libertés numériques.
