Cloud Act : quelles conséquences pour la vie privée des citoyens américains et britanniques ?
2 août 2022Le CEPD et le Contrôleur européen de la protection des données mettent en avant le rôle des CNIL européennes quant à la régulation de l’Espace européen des données de santé et sur l’identification des cas transfrontaliers stratégiques
12 août 2022Transparence de la vie publique vs Respect de la vie privée : la CJUE arbitre
En censurant une partie des dispositions de la législation de lutte contre les conflits d’intérêt de la Lituanie, la Cour de Justice de l’Union européenne1 produit deux apports importants : elle encadre les traitements de données imposés par la loi, et apporte d’utiles précisions sur la qualification des traitements de données sensibles.
Le contexte de l’affaire
Pour comprendre l’intérêt de cette affaire, quelques éléments préalables de contexte sont nécessaires.
La législation lituanienne impose aux personnes occupant certains postes en lien avec l’action publique de fournir à la Haute commission de prévention des conflits d’intérêts dans le service public (la Haute commission) une déclaration d’intérêts privés. Cette déclaration, qui vise à mettre en lumière les risques de conflits d’intérêts, doit mentionner les intérêts privés du déclarant mais aussi l’identité et les intérêts de son conjoint, concubin ou partenaire. Son contenu est en grande partie publié sur le site Internet de la Haute commission.
Dans l’affaire dont a été saisie la CJUE, le directeur d’un établissement recevant des fonds publics s’est vu reprocher de ne pas avoir déclaré ses intérêts privés. Il justifie son refus notamment par l’atteinte excessive portée à sa vie privée en cas de publication de sa déclaration.
D’une part, la publication de son identité et de celle de son conjoint aurait pour effet de révéler leur homosexualité ; d’autre part le contenu détaillé de la déclaration, et en particulier l’obligation d’indiquer toutes transactions d’un montant supérieur à 3000 euros conclues au cours des 12 derniers mois, serait de nature à fournir des informations précises sur son mode de vie à toute personne accédant au site Internet de la Haute commission.
Le juge lituanien pose alors à la CJUE deux questions préjudicielles visant à préciser l’interprétation et l’application de la réglementation relative à la protection des données à caractère personnel dans cette affaire.
La licéité du traitement en question(s)
En s’interrogeant sur la licéité du traitement opéré par la Haute commission, qui s’inscrit dans le cadre légal de ses missions, le juge lituanien est conduit à saisir la Cour sur les limites dans lesquelles se trouve le législateur lorsqu’il impose de procéder à un traitement de données à caractère personnel.
Pour y répondre, la Cour retient au préalable que le traitement est fondé sur le respect par la Haute commission d’une obligation légale à laquelle elle est soumise (article 6.1.c) du RGPD).
Elle s’attèle ensuite à évaluer non plus la licéité du traitement, mais bien la validité de l’obligation légale sur laquelle il se fonde. Cette évaluation tient compte non seulement de l’ensemble de la réglementation relative à la protection des données, mais aussi des garanties prévues par la Charte des droits fondamentaux de l’Union européenne2.
La Cour répond ainsi à une succession de questions bien précises :
L’obligation est-elle prévue par le droit lituanien ? Oui, cela n’est pas en doute.
La loi en question poursuit-elle un objectif d’intérêt public ? Assurément, la lutte contre la corruption et les conflits d’intérêts est bien un objectif d’intérêt public légitime reconnu en droit de l’Union européenne.
La publication de la déclaration permet-elle d’atteindre cet objectif ? Ici encore, la Cour répond par l’affirmative.
Cette publication est-elle nécessaire pour atteindre l’objectif poursuivi ? Autrement dit, existe-t-il un autre moyen, moins attentatoire à la vie privée du déclarant, d’atteindre cet objectif ? Et c’est là que le bât blesse.
• Premièrement, la Cour retient que le contrôle des déclarations fournies à la Haute commission, sans publication de celles-ci, permettrait d’atteindre les mêmes objectifs. Elle écarte à cette occasion la circonstance que la publication compenserait le manque de moyens dont dispose la Haute commission pour contrôler les déclarations : « Il convient cependant de souligner que le manque de ressources allouées aux autorités publiques ne saurait en aucun cas constituer un motif légitime permettant de justifier une atteinte aux droits fondamentaux garantis par la Charte. »
• Deuxièmement, quand bien même la publication serait nécessaire, rien n’indique qu’une publication illimitée le soit. Une limitation du nombre de personnes pouvant obtenir les déclarations, au contraire d’un accès libre sur Internet, aurait dû être étudiée.
• Troisièmement, le principe de minimisation des données s’applique en tout état de cause à ce traitement. Seules les données nécessaires devraient être rendues publiques : l’identité du conjoint, de même que les éléments relatifs à toutes les transactions de plus de 3000 euros conclues au cours des 12 derniers mois civils ne sont pas strictement nécessaires à l’objectif poursuivi.
Cette seule analyse permet de donner gain de cause au requérant.
De l’identification du conjoint au traitement de données sensibles
La seconde question posée par le juge lituanien peut être formulée ainsi : en publiant l’identité du conjoint du déclarant, qui se trouve être du même sexe que lui, la Haute commission procède-t-elle au traitement d’une donnée sensible au sens de l’article 9.1 du RGPD, en ce qu’elle permet de connaitre l’orientation sexuelle des deux hommes ?
La CJUE répond par l’affirmative : même si les données publiées sont, par elles-mêmes, de simples données d’identification, le contexte dans lequel elles sont publiées doit être pris en compte pour qualifier leur traitement. En l’occurrence, le traitement qui consiste à publier deux noms de personnes de même sexe identifiées comme conjoint l’une de l’autre, révèle leur orientation sexuelle.
La Cour s’appuie en effet pour ce raisonnement sur la notion de traitement qui « révèle » une donnée sensible. La logique n’étonnera pas celui qui est rompu à l’exercice de qualification des traitements de données de santé : c’est d’ailleurs par analogie avec l’acception large retenue de la donnée de santé que la Cour produit ce résultat. Elle retient que l’orientation sexuelle et la donnée concernant la santé étant de même valeur dans la réglementation, il n’y a pas lieu de distinguer la manière de les qualifier.
En pratique, que retient-on ?
Le premier apport de l’arrêt de la CJUE s’adresse en priorité au législateur : imposer un traitement de données par la loi ne dispense pas de tenir compte de l’ensemble des principes applicables à la protection des données, notamment les principes de minimisation des données et de proportionnalité du traitement.
Le second éclaire tous les acteurs de la protection des données : lors de la mise en œuvre d’un traitement de données, l’intégralité du contexte du traitement doit être pris en compte pour en déterminer la sensibilité. La seule circonstance qu’une donnée n’est pas par nature une donnée sensible n’exclut pas que le traitement dans son ensemble le soit.
Pour en savoir plus,
1- Arrêt de la CJUE