Traitement illicite de données personnelles : pouvoir de l’autorité de contrôle d’exiger leur effacement en l’absence de demande de la personne concernée
18.04.2024
Selon la CJUE, une autorité de contrôle peut exiger l’effacement de données personnelles traitées de façon illicite et ce, quelle que soit leur source et peu important que la personne concernée ait ou non procédé à une demande d’effacement.
Dans l’affaire qui a donné lieu à l’arrêt du 14 mars 2024, l’administration hongroise avait décidé de fournir une aide financière à certains résidents fragilisés par la pandémie de Covid-19. Pour apprécier leur éligibilité, elle avait collecté des données personnelles. Alertée par un signalement, l’autorité de contrôle hongroise avait notamment relevé que l’administration « n’avait pas informé les personnes concernées, dans le délai d’un mois, des catégories de données à caractère personnel traitées dans le cadre de ce programme, des finalités du traitement en cause, ni des modalités selon lesquelles ces personnes pouvaient exercer leurs droits à cet égard » (point 16). Elle avait condamné l’administration à effacer les données traitées et à payer une amende. Dans son recours contre cette décision, l’administration hongroise faisait valoir que l’autorité de contrôle hongroise n’avait pas le pouvoir d’ordonner l’effacement des données à caractère personnel en l’absence d’une demande présentée par la personne concernée et que le droit à l’effacement était conçu exclusivement comme un droit de la personne concernée. Saisie de questions préjudicielles, la Cour de justice devait déterminer :
si une autorité de contrôle peut ordonner l’effacement de données personnelles ayant fait l’objet d’un traitement illicite alors même qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer son droit à l’effacement ; et
le cas échéant, si ce pouvoir s’étend à toutes les données, quelle que soit leur source.
En vertu de l’article 58, § 2 d) et g) du RGPD, chaque autorité de contrôle dispose du pouvoir d’ordonner au responsable du traitement ou au sous‑traitant de mettre les opérations de traitement en conformité avec les dispositions du RGPD et d’ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.
L’interprétation de cet article ne laissait guère de place au doute. La Cour, après avoir analysé la lettre de ce texte, le contexte dans lequel il s’inscrit et les objectifs poursuivis, en conclut que « l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits » (point 46). Admettre le contraire reviendrait à laisser le responsable du traitement opérer un traitement illicite (point 45).
Quant à la source des données, la Cour considère qu’il n’y a pas lieu de différencier là où le texte ne le fait pas et ce d’autant plus, lorsqu’une différenciation irait à l’encontre d’une application effective et cohérente du RGPD. Elle décide alors que « le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source » (point 53).