Par Giacomo Delinavelli
Article de blog 38/2022
Le 1er août 2022, dans l’affaire C-184/20, en répondant à une procédure de saisine introduite par le tribunal administratif régional de Vilnius, en Lituanie, la Cour de justice (ci-après la Cour) a abordé deux questions importantes du droit de la protection des données, à savoir l’équilibre des obligations de transparence avec les droits de protection des données, ainsi que l’étendue de la protection des données – potentiellement – sensibles.
Cet arrêt a suscité beaucoup d’intérêt de la part de la communauté de la protection des données et a généré des spéculations sur les conséquences de cette affaire. Dans cet article de blog, il sera soutenu que bien que les obligations de transparence, conçues pour lutter contre la corruption, puissent entrer en conflit avec les droits à la vie privée et à la protection des données, la clé pour résoudre ce conflit réside dans un test de proportionnalité sophistiqué et complexe, qui tient compte tous les éléments juridiques et factuels spécifiques de l’affaire.
Par ailleurs, dans la deuxième partie de ce blog, il sera montré, contrairement à ce qu’affirment plusieurs prises à chaud de cet arrêt, comment cet arrêt, dans la partie concernant l’interprétation des données personnelles pouvant avoir pour objet de révéler des données sensibles, ne ne fournissent pas suffisamment de clarté pour déterminer quelles données peuvent être considérées comme potentiellement sensibles.
Le contexte de l’affaire, en bref
OT est l’administrateur d’une entreprise qui a reçu un financement de l’UE. Conformément à la législation lituanienne, les personnes qui reçoivent un financement de l’UE, même si elles n’exercent pas de fonctions publiques, sont tenues de fournir une déclaration d’intérêts privés (DPI). Cette déclaration vise à lutter contre la corruption et à assurer un bon gouvernement. Entre autres choses, le DPI indique des informations sur le conjoint ou le concubin du déclarant, ainsi que sur toutes les transactions d’une valeur supérieure à 3 000 € intervenues au cours des 12 derniers mois (paragraphe 29). Le DPI est publié sur le site Internet de la commission d’éthique en chef de la Lituanie (paragraphe 30).
Compte tenu des obligations légales qui viennent d’être mentionnées, le tribunal administratif de Vilnius révèle un éventuel conflit entre les obligations de transparence envisagées et le droit à la vie privée et à la protection des données, consacré à l’art. 7 et 8 CFR. Par conséquent, les questions suivantes sont renvoyées à la CJUE :
Questions renvoyées, résumées
(1) Avec la première question, il a été demandé dans quelle mesure la publication, en ligne, de la déclaration d’intérêts privés d’OT pouvait s’appuyer sur l’article 6, paragraphes 1 et 3, du RGPD, en tant que base juridique valable pour le traitement des données. Et (2) avec la deuxième question, il a été demandé si la publication du nom du partenaire d’OT pouvait être traitée conformément aux limites et conditions énoncées à l’article 9(1) et 9(2)(g) GDPR.
Concernant la première question, la CJUE rappelle que les droits fondamentaux envisagés dans le CCR en général, et les droits fondamentaux à la vie privée (art. 7) et à la protection des données (art. 8) ne sont pas des droits absolus et qu’en cas d’intérêts concurrents, ils doivent être équilibrés contre d’autres droits et intérêts légitimes conformément au considérant 4 du RGPD.
Car, la toute première étape que la Cour entreprend est de s’interroger sur la légitimité de l’intérêt opposé aux droits à la vie privée et à la protection des données (paragraphes 74-80). Dans cette affaire, la Cour souligne à quel point la transparence, l’impartialité et la lutte contre la corruption constituent un intérêt légitime, reconnu comme un objectif général que les États membres ont entrepris tant au niveau de l’UE qu’au niveau international.
Une fois la légitimité et l’importance de l’intérêt opposé reconnues, la CJUE part du principe que le DPI pourrait être traité sur la base de l’art. 6(1)(c) RGPD – exécution d’une obligation légale. Cependant, comme le prévoit l’art. 6(3) GDPR, lors du traitement de données sur la base de 6(1)(c), certaines conditions s’appliquent. Le traitement doit reposer sur une disposition légale nationale ou européenne et être proportionné aux intérêts poursuivis.
Le test de proportionnalité (lato sensu) se compose de trois étapes d’analyse : adéquation, nécessité et proportionnalité strictement sensu.
En ce qui concerne la pertinence des mesures, la Cour considère que la mise en ligne d’informations afin d’atteindre les intérêts concurrents de la transparence et de la lutte contre la corruption est appropriée (paragraphes 82-84), passant ainsi le test d’adéquation.
Ensuite, concernant la nécessaire des mesures, la Cour examine si des mesures moins restrictives des droits à la vie privée et à la protection des données auraient été capables d’atteindre le résultat envisagé (paragraphes 85-97). Pour la Cour, cette appréciation est contextuelle. Elle reposera sur certains éléments caractérisant les faits en cause, tels que la présence d’autres mesures destinées à prévenir les conflits d’intérêts, les positions hiérarchiques du déclarant, la pertinence des données demandées, leur nature et la présence de garanties ( paragraphe 86). Un aspect particulièrement préoccupant est de justifier la nécessité de publier le DPI en ligne, qui, potentiellement, pourrait être vu par un nombre illimité de personnes pendant une durée illimitée.
La Cour reconnaît que la mise en ligne d’informations n’assure pas leur contrôle, et certaines garanties pour la personne concernée doivent être assurées. A cet égard, la capacité administrative limitée de l’autorité imposant cette obligation (par exemple, le manque de ressources humaines) « ne peut en aucun cas constituer un motif légitime justifiant une ingérence dans les droits fondamentaux garantis par la Charte » (paragraphe 89). Par conséquent, pour la Cour, la mise en ligne de ce type et de cette étendue d’informations ne satisfait pas au critère de nécessité.
Bien que réussir le test de nécessité soit une condition sine qua non pour réussir le test global de proportionnalité, le tribunal s’engage également dans la dernière étape de l’analyse, à savoir proportionnalité strictement sensu. Cette étape consiste à évaluer la gravité de l’atteinte aux droits à la vie privée et à la protection des données, par rapport à l’importance des objectifs de prévention des conflits d’intérêts et de la corruption dans le secteur public (paragraphe 106). Notamment, la Cour note que cet équilibre n’est pas nécessairement le même pour tous les États membres (paragraphe 110), car certains pourraient donner la priorité à la nécessité de lutter contre la corruption. En outre, l’équilibrage doit tenir compte, entre autres, la sensibilité des données à partager, leur nature, les modalités de collecte et le nombre de personnes y ayant accès (paragraphe 99), ainsi qu’il convient de tenir compte de l’importance des fonctions exercées par le déclarant ( para 111) et la présence de garanties contre les risques d’abus de ces DPI (para 113). Pour la Cour, tout en tenant compte de l’étendue du pouvoir décisionnel du déclarant, et sous réserve du respect du principe de minimisation des données, la publication d’un tel DPI peut être justifiée par les avantages procurés. En particulier, cela renforcerait les garanties de probabilité et d’impartialité des agents publics, cette transparence, et contribuerait à la prévention des conflits d’intérêts et à la lutte contre la corruption (paragraphe 115).
Dans l’ensemble, la Cour interprète l’article 6, paragraphe 1, et l’article 6, paragraphe 3, du RGPD comme s’opposant à une législation nationale qui oblige tout chef d’établissement recevant des fonds publics à publier le DPI en ligne, comme le prévoit la loi lituanienne (paragraphe 116). C’est notamment la publication – en ligne – de l’information, ainsi que l’obligation généralisée à tout bénéficiaire d’un financement public, sans considération de sa position dans l’administration publique, qui ont fait statuer la Cour en ce sens.
Concernant la deuxième question, l’analyse de la Cour se concentre sur certaines données qui, bien que n’étant pas intrinsèquement «sensibles», au sens de l’art. 9 GDPR, ont le potentiel de révéler des informations sensibles, telles que l’orientation sexuelle. A cet égard, la Cour a examiné comment les données nominatives relatives au conjoint, concubin ou partenaire du déclarant sont susceptibles de révéler la vie sexuelle ou l’orientation sexuelle de ce dernier et de son partenaire (paragraphe 119). Pour obtenir la révélation, la Cour se réfère à une « opération intellectuelle de comparaison ou de déduction » (paragraphe 120) comme condition suffisante pour étendre aux données à caractère personnel, qui ne sont pas intrinsèquement sensibles, le régime spécial de protection prévu pour la protection des données sensibles.
Malheureusement, la Cour n’examine pas davantage comment cette « opération intellectuelle de comparaison ou de déduction » doit être conduite, si certains critères doivent être pris en compte ou si elle peut être simplement – et légitimement – fondée sur des stéréotypes et du bon sens. En effet, la Cour fonde son raisonnement sur la nécessité d’assurer une lecture cohérente des dispositions relatives aux données sensibles, ainsi que d’assurer un niveau élevé de protection des données, notamment en ce qui concerne certains aspects de la vie privée (paragraphes 125-126).
Conclusion
Cet arrêt répond à deux questions concernant la mise en balance des droits à la vie privée et à la protection des données avec d’autres intérêts publics. Dans les deux cas, la Cour souligne combien le « contexte » sera le facteur déterminant pour trouver le juste équilibre. Pourtant, comme la Cour le souligne à plusieurs reprises, les éléments de fait et de droit qui doivent être pris en compte sont spécifiques à l’affaire considérée et affectés par le système juridique de l’État membre concerné (paragraphes 86, 110) .
Par conséquent, lors de l’examen de l’importance qu’il convient d’accorder à cet arrêt, il convient de garder à l’esprit que le contrepoids dans cette affaire est spécifique au contexte des éléments factuels et juridiques présents dans cet État membre. Cette observation permet de dire que, dans la première question, l’équilibre entre la vie privée, la protection des données et la transparence est influencé par le cadre administratif lituanien (juridique et factuel) et, par conséquent, pas immédiatement, ou nécessairement applicable à d’autres cas dans l’UE. Par exemple, d’autres États membres pourraient adopter une politique anti-corruption plus agressive qui renforcerait les mesures de transparence et – légitimement – limiterait les droits à la vie privée et à la protection des données, tant que « l’essence » de ces droits n’est pas compromise.
Des observations similaires s’appliquent également à la réponse donnée à la deuxième question. La Cour adopte une approche contextuelle sans expliciter les critères spécifiques de détermination des données personnelles potentiellement sensibles. Alternativement à une approche purement contextuelle, la Cour aurait dû utiliser une approche plus nuancée qui aurait inclus des éléments de l’approche fondée sur la finalité. Concrètement, la Cour aurait dû considérer que l’autorité administrative concernée n’avait pas l’intention, ni directement ni indirectement, d’obtenir des informations concernant l’orientation sexuelle de la personne soumise aux obligations de transparence. En outre, la Cour ne fournit pas de taxonomie des données à caractère personnel, concernant soit la même personne concernée, soit des tiers, dont la combinaison révélerait des informations sensibles. La Cour laisse cette appréciation au cas par cas et, ce faisant, porte atteinte à la sécurité juridique.
Bien que l’intention de la Cour, conformément à la jurisprudence antérieure, soit de garantir un niveau élevé de protection de la vie privée et des données, cette approche ne favorise pas une interprétation uniforme de la législation dans les États membres de l’UE et ne garantit pas non plus la sécurité juridique des responsables du traitement.