CJUE Rigas Satiksme, 4 mai 2017, aff. C-13/16
La police peut,
mais selon la directive européenne relative à la protection des données, n’est
pas dans l’obligation de communiquer les données d’une personne à un tiers qui
souhaite agir en justice à son encontre
C’est un accident de la circulation routière en
décembre 2012 dans la capitale lettone qui permet à la Cour de Justice de
l’Union européenne aujourd’hui de préciser la portée de l’article 7 de la
Directive 95/46/CE du 24 octobre 1995 relative à la protection des données à
caractère personnel et à la libre circulation de ces données.
La Cour estime
ainsi que la directive n’impose pas l’obligation de communiquer des données à
caractère personnel à un tiers afin de lui permettre d’introduire un recours en
indemnisation devant une juridiction civile pour un dommage causé par la
personne concernée par la protection des données. Toutefois, l’art. 7 considéré
de la directive ne s’oppose pas à une telle communication sur la base du droit
national.
En décembre 2012, un trolleybus de Rigas Satiksme, au moment où il passe à
côté d’un taxi garé sur le bord de la route, est endommagé par l’ouverture
soudaine de la portière du véhicule par son passager. Une procédure pour
infraction administrative a été lancée alors, et ladite infraction constatée.
La société Rigas
Satiksme a alors demandé à la police de lui communiquer toutes les
informations nécessaires afin d’identifier, et ainsi de pouvoir poursuivre, le
passager du taxi responsable de l’accident. La police ayant refusé de
communiquer l’adresse de ce dernier, la Société a alors introduit un recours
devant le tribunal administratif letton, qui a ordonné à la police de faire
suite à la demande.
Suite au pourvoi en cassation de la police
nationale, la juridiction suprême lettone (Cour suprême, département affaires
administratives), après avoir entendu l’avis de l’autorité nationale de
protection des données, a saisi la CJUE de questions préjudicielles.
Celles-ci visent pour l’essentiel à déterminer si la
directive 95/46/CE (art. 7 f) fait obligation de communiquer des données à
caractère personnel à un tiers afin de lui permettre d’introduire un recours en
indemnisation devant une juridiction civile pour un dommage causé par personne
concernée par la protection de ses données.
S’ajoute la question de savoir si le fait que cette
personne soit mineure a une incidence sur l’interprétation de cette disposition.
Il est évident tout d’abord que la police nationale
est ici le responsable du traitement des données au sens de la directive. La
Cour estime ensuite qu’il ressort de la directive (art. 7 f) qu’elle ne « prescrit pas en soi une obligation mais
exprime une faculté d’effectuer le traitement de données tel que la
communication à un tiers de données nécessaires à la réalisation d’un intérêt
légitime poursuivi par celui-ci » (§ 26 de l’arrêt).
La Cour estime au total (après avoir notamment
examiné la question de la condition de la stricte nécessité s’agissant des
restrictions au principe de la protection des données, ainsi que celle d’une
pondération des droits et intérêts opposés en cause), que la directive doit
être interprétée en ce sens qu’elle « n’impose pas l’obligation de
communiquer des données à caractère personnel à un tiers afin de lui permettre
d’introduire un recours en indemnisation devant une juridiction civile pour un
dommage causé par la personne concernée par la protection de ces données.
Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle
communication sur la base du droit national ».
*
L’accord général - « umbrella agreement » - sur les transferts de données UE/Etats-Unis dans le cadre de leur coopération en matière de lutte contre le terrorisme et la criminalité approuvé par la commission LIBE du Parlement européen (24 novembre 2016)
Cet accord, signé par le Conseil en juin dernier,
n’a pas vocation à se substituer aux accords sectoriels existants et ne donnera
pas une base juridique à d’éventuels transferts de données entre l’UE et les
Etats-Unis. Il s’agit simplement de fixer un cadre général, posant un certain
nombre de principes, afin de garantir un niveau de protection des données
satisfaisant aux exigences européennes en la matière pour les données
transférées.
« C’est un grand pas en avant pour la
protection transatlantique des données » a déclaré l’eurodéputé
Jan-Philipp Albrecht (Verts, DE), après l’approbation par la commission des
libertés civiles ce jeudi, par 41 voix contre 4 et 6 abstentions.
L’adoption par les Etats-Unis du « Judicial redressa Act » en février
dernier, accordant aux citoyens européens la possibilité de former des recours
juridictionnels devant les tribunaux américains, a été le déclencheur de
l’adoption du texte, qui offre par ailleurs des garanties élevées s’agissant
des données échangées entre police et services répressifs, telles que le droit
à l’information et à la correction des données inexactes.
Le texte doit être désormais adopté en plénière par
le Parlement européen jeudi 1ier décembre, ce qui permettra alors
son entrée en vigueur.
*
PNR : l’accord UE/Canada ne
respecte pas la Charte des droits fondamentaux de l’Union européenne (Cour de
Justice de l’Union européenne, conclusions de l’Avocat général dans la demande
d’avis 1/15, 8 septembre 2016)
L’accord
permettant le transfert des données des dossiers des passagers aériens à
destination du Canada a été conclu en 2014 et soumis alors à l’approbation du
Parlement européen. La Cour de justice a été saisie en novembre 2014 par ce
dernier pour avis et ce sont les conclusions de l’Avocat général – qui ne lient
pas la Cour – qui jugent aujourd’hui l’accord pour partie contraire à la Charte
des droits fondamentaux de l’UE. Sont mises à l’index notamment les
dispositions qui prévoient le traitement de données « sensibles » (celles
qui révèlent les opinions politiques, les convictions religieuses ou
philosophiques ou l’orientation sexuelle par exemple) ou celles qui prévoient
le transfert de données PNR à une autorité publique étrangère sans contrôle
préalable par une autorité indépendante. L’Avocat général a surtout souligné,
dans la logique des arrêts de la Cour de justice Digital Rights Ireland (8 avril 2014, annulation de la directive « rétention
des données de communication électronique) et Schrems (6 octobre 2015, invalidation du « Safe Harbor »),
qu’ « il est nécessaire, au moment où les technologies modernes
permettent aux autorités publiques, au nom de la lutte contre le terrorisme et
la criminalité transnationale grave, de développer des méthodes extrêmement
sophistiquées de surveillance de la vie privée des individus et d’analyse de
leurs données à caractère personnel, la Cour s’assure que les mesures projetées
(…) reflètent une pondération équilibrée entre le souci légitime de préserver
la sécurité publique et celui, non moins fondamental, à ce que toute personne
puisse jouir d’un niveau élevé de protection de sa vie privée et de ses propres
données » (Communiqué de presse, Cour
de Justice de l’UE, n° 89/16, Luxembourg, 8 septembre 2016) Analyse complète à suivre....
*
Google et Privacy Shield (30 août 2016)
Google
a annoncé avoir déposé sa candidature pour le « Privacy Shield » auprès du département américain du Commerce.
Ce système, qui succède au « Safe
Harbor » qui avait été invalidé par la Cour de Justice de l’Union
européenne le 6 octobre 2015 dans le célèbre arrêt « Max Schrems »,
règlemente les échanges de données entre l’Europe et les Etats-Unis, afin de
satisfaire aux normes européennes de protection des données.
Le
Safe Harbor avait été notamment
invalidé pour des raisons tenant à la surveillance opérée par les services de
renseignement américains (la NSA) sur les données des Européens fournies par
les grandes sociétés de l’Internet (Facebook, Google, Apple etc.). Le nouvel
accord qui lui succède, le Privacy Shield, suscite toutefois de nombreuses critiques,
tant de la part du Parlement européen que du G29, l’organe européen de
protection des données personnelles, qui regroupe les représentants des autorités
nationales de contrôle en la matière. Ce dernier déplore en particulier la
complexité des mécanismes de recours offerts désormais aux individus, tandis
que le Parlement européen souligne la persistance de la possibilité d’accès des
autorités américaines (NSA) aux données transférées, sans que soient respectés
les critères de « nécessité » et de « proportionnalité »
exigés par la Charte des droits fondamentaux de l’Union européenne.
*
WhatsApp sur la sellette : partage de données avec Facebook
La célèbre application
de messagerie instantanée WhatsApp, rachetée par Facebook en 2014 pour 22
millions de dollars est sur la sellette….En effet, L’ICO, équivalent
britannique de la CNIL, enquête sur les nouvelles conditions d’utilisation de
WhatsApp, qui ouvre le partage de données avec Facebook, notamment le numéro de
téléphone des utilisateurs, et devrait permettre à des entreprises d’envoyer
des messages à ces derniers (suggestions commerciales, ou d’amis, ou de
connexions). Le G29, organe de l’Union européenne qui regroupe les autorités de
protection des données personnelles des Etats membres, a publié le 29 août un
communiqué de presse, soulignant la « vigilance » avec laquelle
« les changements de politiques de vie privée » sont suivis par
l’institution européenne. Même si WhatsApp assure que le chiffrement généralisé
sur l’application empêche quiconque (y compris Facebook) d’avoir accès au
contenu des messages des utilisateurs, il s’agit de s’assurer que WhatsApp
reste dans les limites de la loi en matière de respect du droit à la vie privée
et à la protection des données à caractère personnel.
Aucun commentaire:
Enregistrer un commentaire
Remarque : Seul un membre de ce blog est autorisé à enregistrer un commentaire.