Données personnelles : la justice européenne précise quelques règles du jeu

Deux décisions de la CJUE du 4 octobre 2024 éclairent sur le traitement de données personnelles. L’une sanctionne l’utilisation de données sensibles pourtant rendues publiques par la personne concernée. L’autre légitime sous conditions la diffusion à titre onéreux de données personnelles.

De Caterina Barberi & Valentine Le Guellaut, PRD Avocats

Dans un arrêt opposant Maximilian Schrems à Meta (C-446/21), la Cour de justice de l’Union européenne a sanctionné l’utilisation de données concernant l’orientation sexuelle du plaignant à des fins de publicité ciblée, alors même que ladite orientation sexuelle avait été rendue publique par celui-ci. Elle en profite pour rappeler des principes essentiels du RGPD en cas de publicité ciblée.

D’abord, une entreprise ne peut pas conserver sans limitation dans le temps des données à des fins de publicité ciblée sans porter atteinte aux droits des utilisateurs. La limitation dans le temps est donc indispensable. Pour la CJUE, il est aussi nécessaire de distinguer selon la nature de ces données (sensibles ou non). L’orientation sexuelle étant une donnée particulièrement sensible, elle mérite une protection spécifique. Il faut donc appliquer un encadrement plus contraignant à son utilisation par une entreprise, pour pouvoir diffuser de la publicité ciblée.

Ensuite, le caractère manifestement public des données traitées n’autorise pas un traitement par l’exploitant d’une plateforme d’autres données relatives à cette même orientation sexuelle.

Pour rester en conformité, les bonnes pratiques à adopter consistent donc d’une part à mettre en place des durées de conservation et à les communiquer via la Politique de données, pour tous les traitements de données et spécifiquement pour les données sensibles. D’autre part à n’utiliser que les données récoltées via les cookies (après avoir reçu le consentement de l’utilisateur).

Dans un autre arrêt (C-621/22), la CJUE justifie par un « intérêt commercial » le traitement de données personnelles, en l’occurrence pour une fédération sportive qui diffusait à titre onéreux des données concernant ses membres. Elle admet donc la possibilité pour une entreprise d’utiliser cet intérêt commercial comme fondement de l’« intérêt légitime » au sens du RGPD pour le traitement de données personnelles.

À quelques conditions tout de même : d’abord, l’intérêt commercial n’est licite que lorsque le traitement consistant en la communication à titre onéreux de données personnelles est strictement nécessaire à la réalisation de l’intérêt légitime en cause (ici, commercial). La fédération en question pouvait donc communiquer, à titre onéreux, à un sponsor les noms, adresses et domiciles de ses membres puisque ce traitement répondait à un intérêt commercial légitime.

Ensuite, pour que le traitement soit acceptable, il faut que celui-ci ne porte pas une atteinte disproportionnée aux droits et libertés fondamentaux des personnes intéressées. Dans cet exemple, la communication des données personnelles des membres de la fédération n’engendrait pas des conséquences manifestement disproportionnées pour eux, a jugé la CJUE. 

À LIRE AUSSI :

Secu

Cinq ans de RGPD : au-delà des contraintes, des atouts révélés

Pierre-Randolf Dufau

28 Oct

À LIRE AUSSI :

Gouvernance

RGPD : suite et fin de la saga Schrems ?

La rédaction

5 Oct

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !