Alliancy.fr : « En cas de litige, doit-on communiquer des données personnelles ? » par Elise Dufour

Elise Dufour, Of Counsel, signe une tribune au sujet d’un arrêt rendu le 4 mai 2017 par la Cour de Justice de l’Union européenne et en rapport avec la licéité du traitement des données à caractère personnel.

Dans un arrêt du 4 mai 2017*, la Cour de justice de l’Union européenne précise que trois conditions cumulatives doivent être remplies pour qu’un traitement de données à caractère personnel soit licite.

Existe-t-il une obligation pesant sur la police nationale à communiquer l’identité, mais aussi le numéro d’identification et l’adresse d’une personne physique, responsable d’un accident de la route, de façon à permettre à la victime d’introduire un recours civil ? Telle a été la question posée à la Cour de justice de l’Union européenne (CJUE) par la Cour suprême de Lettonie sur la base des faits suivants.

En ouvrant sa portière, le passager d’un taxi a endommagé le trolleybus de Rīgas satiksme, en Lettonie. Le trolleybus, souhaitant obtenir réparation, a demandé à la police nationale de Rigas (Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs) de lui communiquer le nom du passager du taxi, son numéro d’identification et son adresse, ainsi que l’envoi de la copie des documents où apparaissent les explications du chauffeur de taxi et du passager sur les circonstances de l’accident.

La police n’a répondu que partiellement à la demande de Rīgas satiksme et ne lui a communiqué que les nom et prénom du passager du taxi au motif que le droit letton n’autorisait pas la communication des informations demandées qu’aux parties à une affaire. Rīgas satiksme n’étant pas partie à la procédure administrative ayant sanctionné l’auteur des faits, la communication ne pouvait être réalisée.

En outre, pour la police lettone, l’article 7 de la Fizisko personu datu aizsardzības likums (la loi sur la protection des données des personnes physiques) n’obligerait pas le responsable du traitement (en l’espèce, la police) à procéder au traitement des données : il le permet simplement.

Rīgas satiksme ne pouvant retrouver l’identité de l’auteur des faits sur la seule base de ses nom et prénom, les risques d’homonymie étant trop grands, elle a saisi la juridiction nationale pour obtenir communication des autres éléments demandés, à savoir son numéro d’identification et son adresse.

La Cour suprême de Lettonie a souhaité savoir si, en application de la directive, il existe une obligation de communiquer les données permettant l’identification d’une personne prétendument coupable d’une infraction administrative afin que Rīgas Satiksme puisse saisir le juge civil. Elle a saisi la CJUE de cette question.

Dans un arrêt du 4 mai 2017, la Cour de justice de l’Union européenne (CJUE) a estimé que l’article 7 (f), de la directive 95/46/CE, doit être interprété en ce sens :

« qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données» tout en précisant que l’article 7, sous f), de cette directive « ne s’oppose pas à une telle communication sur la base du droit national ».

Le raisonnement de la CJUE est à ce titre le suivant :

La CJUE rappelle qu’aux termes de l’article 7 de la directive, le traitement de données à caractère personnel ne peut être effectué que sous certaines conditions et notamment si :

(…)

(f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er, paragraphe ».

Pour la CJUE, le traitement des données à caractère personnel doit donc, par nature, demeurer exceptionnel. Aucune obligation de communication de données personnelle n’est ainsi prévue par la directive.

En d’autres termes, il existe pour le responsable de traitement qu’une simple faculté ou une possibilité de procéder au traitement des données à caractère personnel, et non une obligation, et ce sous réserve que le contexte factuel relève d’une des exceptions prévues par la directive.

Sur cette base, la CJUE a donc examiné si les conditions de l’article 7 (f) étaient réunies au cas d’espèce pour autoriser cette communication.

Pour la CJUE, l’article 7 (f), prévoit trois conditions cumulatives afin que le traitement des données à caractère personnel soit licite :

D’abord, il doit être nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers ou par les parties auxquels les données sont communiquées.
Ensuite, les droits et libertés fondamentaux de la personne concernée ne doivent pas prévaloir sur cet intérêt.
Enfin, le traitement doit être nécessaire à la réalisation de cet intérêt légitime.

Pour la CJUE, ces trois conditions sont dans le cas d’espèce réunies. Le traitement des données personnelles était licite, sous réserve que le droit national prévoit la communication de données à caractère personnel dans telles circonstances.

Le droit letton ne l’y autorisant pas, la police nationale était donc légitime à refuser une telle communication.

* CJUE, 2ème chambre, 4 mai 2017 (affaire C‑13/16 – ECLI:EU:C:2017:336), Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde c/ Rīgas pašvaldības SIA “Rīgas satiksme”

Retrouvez cette tribune sur le site Alliancy.fr en cliquant ici.

L'ÉQUIPE

V card

Elise
Dufour

Associé

L'équipe

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Publicité".
cookielawinfo-checkbox-analytics	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Analytics".
cookielawinfo-checkbox-necessary	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour enregistrer le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-others	1 an	Ce cookie est défini par le plugin GDPR Cookie Consent. Le cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Autres".
cookielawinfo-checkbox-performance	1 an	Défini par le plugin GDPR Cookie Consent, ce cookie est utilisé pour stocker le consentement de l'utilisateur pour les cookies dans la catégorie "Performance".
viewed_cookie_policy	1 an	Le cookie est défini par le plugin GDPR Cookie Consent pour stocker si l'utilisateur a consenti ou non à l'utilisation de cookies. Il ne stocke aucune donnée personnelle.
_GRECAPTCHA	5 mois 27 jours	Ce cookie est défini par le service Google recaptcha pour identifier les robots afin de protéger le site Web contre les attaques de spam malveillantes.

Cookie	Durée	Description
CONSENT	16 ans	Ces cookies sont définis via des vidéos youtube intégrées. Ils enregistrent des données statistiques anonymes sur par exemple combien de fois la vidéo est affichée et quels paramètres sont utilisés pour la lecture. Aucune donnée sensible n'est collectée sauf si vous vous connectez à votre compte google, dans ce cas vos choix sont liés à votre compte, par exemple si vous cliquez sur « j'aime » sur une vidéo.
_ga	2 ans	Le cookie _ga, installé par Google Analytics, calcule les données des visiteurs, des sessions et des campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke des informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gid	1 jour	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant également un rapport d'analyse des performances du site Web. Certaines des données collectées incluent le nombre de visiteurs, leur source et les pages qu'ils visitent de manière anonyme.

Cookie	Durée	Description
IDE	1 an 24 jours	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».
test_cookie	15 minutes	Le test_cookie est défini par doubleclick.net et est utilisé pour déterminer si le navigateur de l'utilisateur prend en charge les cookies.
VISITOR_INFO1_LIVE	5 mois 27 jours	Cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées sur les pages Youtube.
yt-remote-connected-devices	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.
yt-remote-device-id	jamais	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur utilisant la vidéo YouTube intégrée.

Cookie	Durée	Description
45342b9b1e	session	Pas de description
cookielawinfo-checkbox-functional	1 an	Le cookie est défini par le consentement des cookies GDPR pour enregistrer le consentement de l'utilisateur pour les cookies dans la catégorie « Fonctionnel ».