Par un arrêt rendu sur renvoi préjudiciel de la Kúria, la Cour de justice de l’Union européenne précise les contours d’une exception à l’obligation d’information des personnes concernées, posée par le Règlement général sur la protection des données. La décision offre une clarification substantielle sur les données couvertes par cette dérogation et sur l’étendue du contrôle exercé par les autorités de protection des données quant à son application.
En l’espèce, une personne physique s’est vu délivrer un certificat d’immunité contre la covid-19 par une administration publique hongroise, en application d’un décret national. Constatant l’absence de communication d’informations relatives au traitement de ses données à caractère personnel, cette personne a saisi l’autorité nationale de contrôle d’une réclamation. Elle demandait à ce que l’administration de délivrance soit mise en conformité avec les dispositions du règlement. L’administration arguait ne pas être tenue par cette obligation d’information, se prévalant de l’exception prévue à l’article 14, paragraphe 5, sous c), du règlement, au motif que la collecte de données était expressément prévue par le droit national.
L’autorité de contrôle a rejeté la réclamation, estimant l’exception applicable. Saisie d’un recours, la Fővárosi Törvényszék a annulé cette décision, jugeant que l’exception ne pouvait couvrir les données générées par le responsable du traitement lui-même, telles que le numéro de série du certificat. L’autorité de contrôle a alors formé un pourvoi devant la Kúria, qui a décidé de surseoir à statuer pour interroger la Cour de justice. Il s’agissait de déterminer si l’exception à l’obligation d’information prévue à l’article 14, paragraphe 5, sous c), du règlement s’applique aux données générées par le responsable du traitement et, dans l’affirmative, si une autorité de contrôle peut vérifier l’existence de « mesures appropriées » dans le droit national et si cette vérification inclut les mesures de sécurité de l’article 32 du même règlement.
La Cour de justice répond que l’exception concerne indistinctement toutes les données non collectées directement auprès de la personne concernée, y compris celles générées par le responsable du traitement. Elle affirme également que l’autorité de contrôle est compétente pour vérifier si le droit national prévoit des mesures appropriées protégeant les intérêts légitimes de la personne, mais que ce contrôle n’englobe pas les mesures de sécurité prévues à l’article 32 du règlement. La Cour de justice clarifie ainsi, d’une part, le champ d’application matériel de l’exception à l’obligation d’information (I), et d’autre part, la portée du contrôle exercé par l’autorité de protection des données sur les conditions de cette exception (II).
I. L’interprétation extensive de l’exception à l’obligation d’information
La Cour de justice adopte une lecture large de l’exception prévue par le règlement, en y incluant les données que le responsable de traitement génère lui-même (A), tout en rappelant que cette application demeure conditionnée à l’existence de garanties adéquates dans le droit national (B).
A. L’assimilation des données générées aux données obtenues indirectement
La juridiction de renvoi s’interrogeait sur la possibilité d’appliquer l’exception de l’article 14, paragraphe 5, sous c), aux données créées par le responsable du traitement, comme un numéro de série ou un code QR. La Cour, pour y répondre, procède à une analyse textuelle et systémique de la disposition. Elle constate d’abord une divergence entre les versions linguistiques, certaines visant les « informations » et d’autres les « données ». Se fondant sur l’économie générale du règlement et sa finalité, elle conclut que la disposition doit être comprise comme se référant à l’obtention ou à la communication de données à caractère personnel.
Sur ce fondement, la Cour établit que le texte « ne limite pas l’exception qu’il prévoit aux seules données à caractère personnel obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ». Elle en déduit que l’exception est applicable aux données générées par le responsable du traitement. Ce raisonnement est renforcé par une interprétation combinée des articles 13 et 14 du règlement, qui opèrent une dichotomie claire : l’article 13 s’applique aux données collectées auprès de la personne concernée, tandis que l’article 14 couvre tous les autres cas. Les données générées par le responsable du traitement n’étant, par nature, pas collectées auprès de la personne concernée, elles relèvent nécessairement de l’article 14 et donc de ses exceptions. La Cour affirme ainsi que l’exception « concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée ».
B. Une application subordonnée à la garantie d’une protection équivalente
Si la Cour retient une interprétation extensive du champ de l’exception, elle en circonscrit cependant rigoureusement les conditions d’application. L’objectif principal du règlement est d’assurer un niveau élevé de protection des droits des personnes physiques, notamment en leur permettant de contrôler l’usage qui est fait de leurs données. L’exception à l’obligation d’information ne saurait donc vider ce droit de sa substance.
La Cour rappelle que l’article 14, paragraphe 5, sous c), subordonne l’inapplication de l’obligation d’information à deux exigences cumulatives. D’une part, l’obtention ou la communication des données doit être expressément prévue par le droit de l’Union ou d’un État membre. D’autre part, ce droit doit prévoir des « mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ». La Cour précise que ces mesures doivent garantir un niveau de protection au moins équivalent à celui prévu par l’article 14, paragraphes 1 à 4. En d’autres termes, la personne concernée doit, par l’intermédiaire de la législation nationale, être en mesure d’exercer un contrôle sur ses données et de faire valoir les droits que lui confère le règlement. Cette condition préserve l’effectivité des droits fondamentaux et évite que l’exception ne devienne une brèche dans l’édifice protecteur du règlement.
II. La délimitation du contrôle de l’autorité de surveillance
Après avoir défini le périmètre de l’exception, la Cour se penche sur les pouvoirs de l’autorité de contrôle saisie d’une réclamation. Elle lui reconnaît une pleine compétence pour vérifier l’adéquation des garanties prévues par le droit national (A), mais elle distingue cette mission du contrôle des mesures de sécurité, qui obéit à un régime distinct (B).
A. La compétence reconnue pour l’appréciation des mesures nationales
La deuxième question préjudicielle portait sur le pouvoir de l’autorité de contrôle de vérifier si le droit national prévoit bien les « mesures appropriées » exigées par l’article 14, paragraphe 5, sous c). La Cour répond par l’affirmative, en se fondant sur les missions générales confiées à ces autorités par le règlement. Conformément à l’article 57, paragraphe 1, sous a), du règlement, chaque autorité « contrôle l’application du présent règlement et veille au respect de celui-ci ». Aucune disposition ne vient limiter cette compétence de contrôle s’agissant des conditions d’application d’une exception.
La Cour en conclut que, saisie d’une réclamation, l’autorité peut et doit vérifier si les deux conditions de l’exception sont remplies. Elle doit notamment s’assurer que le droit national est suffisamment clair et prévisible, qu’il définit les types de données concernées et qu’il prévoit les modalités par lesquelles la personne peut accéder aux informations sur le traitement. La Cour souligne que cet examen « ne relève pas pour autant d’un examen de la validité des dispositions pertinentes du droit national ». L’autorité se prononce uniquement sur l’applicabilité de l’exception dans le cas d’espèce. Cette clarification est essentielle : elle confirme le rôle de gardien du règlement des autorités de contrôle, sans pour autant leur conférer un pouvoir de contrôle abstrait des lois nationales.
B. L’exclusion du contrôle des mesures de sécurité de l’article 32
Enfin, la Cour répond à la question de savoir si le contrôle des « mesures appropriées » de l’article 14 doit inclure une vérification de la conformité aux obligations de sécurité de l’article 32 du règlement. La réponse est ici négative. La Cour opère une distinction nette entre l’obligation d’information et l’obligation de sécurité.
Elle relève que l’exception de l’article 14, paragraphe 5, sous c), déroge uniquement à l’obligation d’information, et non aux autres obligations du règlement. L’article 32, qui impose au responsable du traitement de mettre en œuvre des mesures techniques et organisationnelles pour garantir la sécurité du traitement, constitue une obligation autonome et distincte. La Cour précise que les obligations prévues par ces deux articles « sont de nature et de portée différentes ». Par conséquent, lors de l’examen d’une réclamation fondée sur un manquement à l’obligation d’information, le contrôle de l’autorité est circonscrit au respect des conditions de l’article 14. Le respect de l’article 32 ne fait pas partie de ces vérifications spécifiques, bien qu’il puisse faire l’objet d’un contrôle distinct. Cette distinction préserve la cohérence du système et évite de confondre des régimes d’obligations qui poursuivent des finalités différentes.
