Inapplication du code de conduite prévoyant une durée de conservation des données supérieure à celle fixée par la loi

Pour y répondre, la Cour s’intéresse d’abord à la base légale du traitement. Celle-ci ne peut être fondée que sur la poursuite d’intérêts légitimes par le responsable du traitement ou un tiers (RGPD, art. 6 § 1, f) ). Suivant une jurisprudence établie, elle analyse les trois conditions requises pour que la base légale soit valablement utilisée. Il faut :

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement

• premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers,
• deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et,
• troisièmement, la condition que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas (point 75).

Les juges considèrent que le traitement envisagé sert non seulement les intérêts économiques de SCHUFA, mais aussi à poursuivre l’intérêt légitime de ses partenaires contractuels(point 83). Il participe au surplus à assurer les intérêts du secteur de crédit sur un plan socio-économique (point 83). Nul doute dès lors qu’un intérêt légitime soit poursuivi en l’espèce.

Encore faut-il que le traitement de données soit nécessaire à la réalisation des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers et que ces intérêts ne prévalent pas sur les droits des personnes concernées (point 87). A défaut, le traitement doit être considéré comme illicite. Sur ce point, la Cour renvoie aux juges nationaux le soin de s’assurer que la conservation des données par la société SCHUFA est limitée au strict nécessaire (point 88). La juridiction de renvoi avait relevé que les données conservées ne sont pas limitées à des cas concrets pour lesquels une demande de renseignements aurait été formulée et que les données sont accessibles largement dans le registre public (point 91).

Sur la question plus spécifique de la durée de conservation des données en cause, le législateur allemand la fixe à six mois car il considère que, après l’expiration de ce délai, « les droits et les intérêts de la personne concernée prévalent sur ceux du public à disposer des informations » (point 97). Passé cette période, la personne doit pouvoir « participer de nouveau à la vie économique » (point 98).Les intérêts du secteur de crédit à disposer des informations sur une libération de reliquat de dette ne sauraient prévaloir sur cet intérêt des personnes concernées (point 99). Il n’est ainsi pas possible pour un code de conduite de prévoir une durée de conservation supérieure à celle fixée par la loi.

De ce fait, le traitement de données mis en œuvre au-delà de la période de six mois est illicite. La personne concernée peut exercer ses droits et, notamment, demander que les informations traitées illégalement soient effacées, sauf à ce que le responsable du traitement prouve qu’il existe des motifs légitimes impérieux de nature à justifier, à titre exceptionnel, le traitement en cause (point 113). Sans cette preuve, le responsable est tenu d’effacer les données faisant l’objet du traitement illicite (point 113).