Henri Leben
Leben Avocats
Il est fréquent désormais que des données personnelles collectées dans le cadre d’un premier traitement fassent l’objet d’un traitement ultérieur. C’est par exemple le cas des données du client créant son compte sur un site de e-commerce et qui seront utilisées pour préremplir son adresse de livraison ou de facturation.
L’article 6, point 4, du RGPD prévoit ainsi la possibilité de mettre en œuvre un second traitement sur des données collectées pour une première finalité.
Ce traitement dit « ultérieur » doit répondre à un certain nombre de critères pour être licite. L’analyse de la licéité du traitement envisagé est confiée au responsable de traitement.
Le responsable de traitement doit ainsi fonder son analyse sur le contexte du traitement, les attentes des personnes concernées, les conséquences possibles au traitement ainsi que l’existence de garanties appropriées afin de s’assurer que la finalité de ce second traitement est compatible avec celle du premier traitement.
Le traitement envisagé doit bien sûr respecter l’ensemble des dispositions du RGPD, au-delà des critères énoncés à l’article 6, point 4.
Dans un arrêt du 20 octobre 2022 (affaire C-77/21), la Cour de Justice a été amenée à se prononcer sur la compatibilité des finalités de deux traitements successifs, et sur les obligations du responsable de traitement quant au second traitement.
En l’espèce, la cour de Budapest-Capitale avait saisi la Cour de Justice de deux questions préjudicielles à la suite d’une décision de l’Autorité hongroise de protection des données.
La société Digi, l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, avait été l’objet d’une défaillance technique ayant affecté le fonctionnement d’un de ses serveurs mi-2018.
Afin de traiter cette défaillance, Digi avait procédé à la copie des données d’environ un tiers de ses clients dans une base de données dite « de test ».
Fin 2019 un « pirate éthique » a signalé à Digi que les données de plus de trois cent mille de ses clients sur cette base étaient accessibles en ligne. Digi a conclu un accord ave le pirate, supprimé la base et notifié la violation à l’Autorité hongroise de protection des données.
Suite à cette notification, l’Autorité hongroise a prononcé une sanction contre Digi aux motifs que celle-ci n’aurait pas respecté l’obligation de limitation de la durée de traitement des données en conservant les données copiées dans la base de test sans aucune finalité.
Saisie par Digi, la juridiction de renvoi a souhaité poser deux questions préjudicielles auprès de la Cour de Justice, soit, telles que reformulées par la Cour :
- L’enregistrement et la conservation dans une base de données nouvellement créée de données personnelles conservées dans une autre base de données constituent-ils un « traitement ultérieur » au sens de l’article 6, point 4 ; et
- Dans l’hypothèse où le traitement ultérieur serait autorisé, les données peuvent-elles être conservées une fois la finalité du traitement ultérieur réalisée ?
La Cour établit tout d’abord que la finalité du traitement ultérieur telle que décrite par la Cour hongroise n’est pas identique à la finalité initiale, et qu’il est donc nécessaire d’analyse la compatibilité des finalités des deux traitements.
La Cour hongroise retient en effet que le traitement initial consistait en la collecte de données aux fins de la conclusion et de l’exécution de contrats d’abonnement avec des clients particuliers tandis que le traitement ultérieur porte sur la réalisation de tests et la correction d’erreurs (conformément à la position de l’Autorité hongroise).
Digi soutenait que le traitement ultérieur avait pour finalité de garantir l’accès aux données des abonnés jusqu’à ce que les erreurs soient corrigées, et que cette finalité était identique à celle du traitement initial. Cette interprétation a été écartée.
La Cour de Justice retient cependant que la finalité du traitement ultérieur présente un lien concret avec l’exécution des contrats conclus avec les clients. Elle relève par ailleurs que la décision de renvoi ne contient aucun élément permettant d’aller contre la compatibilité du traitement ultérieur avec le traitement initial (absence de données sensibles ou de conséquences dommageables identifiées).
Dès lors, en application des critères listés à l’article 6, point 4 du RGPD, la Cour de Justice retient la complémentarité des finalités des traitements et renvoie la vérification des garanties appropriées à la juridiction hongroise.
Pour autant, la Cour de Justice relève que le traitement ultérieur viole le RGPD.
En effet, la possibilité de mettre en place un traitement ultérieur n’écarte pas ces données du bénéfice des autres dispositions du RGPD, dont l’obligation de limiter la durée de traitement à la réalisation de la finalité.
En conservant les données dans la base de test au-delà de la durée nécessaire à la réalisation de tests et à la correction d’erreurs, Digi a violé l’obligation de définir une durée appropriée de conservation des données.
Cet arrêt rappelle que si la mise en œuvre d’un traitement ultérieur de données doit donner lieu à la vérification de la compatibilité de la finalité envisagée avec la finalité première du traitement initial, cette vérification ne doit pas faire oublier la nécessité de mettre en place l’ensemble des mesures nécessaires à la licéité d’un traitement : minimisation des données, contrôle des accès, exercice des droits des personnes, limitation des durées de conservation, etc.
Source : https://curia.europa.eu/juris/document/document.jsf;jsessionid=4BD1E9D0D41D621089AEA68F502EDABE?text=&docid=267405&pageIndex=0&doclang=fr&mode=req&dir=&occ=first&part=1&cid=27154
