La fin du mois (et la fin de l’année aussi) est un bon moment pour les résumés. Cette fois, nous examinons de plus près les événements dans le domaine de la législation sur la protection des données. Décembre a été un mois avec quelques événements intéressants, voici donc un bref récapitulatif.
Déréférencement de contenus prétendument inexacts (C-460/20 Google)
L’affaire concernait deux dirigeants d’un groupe de sociétés d’investissement (un membre du conseil d’administration et un mandataire) qui avaient demandé à Google de supprimer les résultats de recherche liant leurs noms à certains articles critiquant le modèle d’investissement du groupe. Ils ont exercé le soi-disant droit à l’oubli, garanti par l’article 17, paragraphe 1, du RGPD, affirmant que les informations présentées contenaient de fausses allégations et des opinions diffamatoires. Ils voulaient également que Google supprime leurs images miniatures des résultats de recherche. Google a rejeté ces demandes, arguant qu’il ne sait pas si les informations contenues dans les articles sont vraies ou non.
Dans les cas impliquant l’effacement de données des résultats de recherche d’un opérateur de moteur de recherche, deux droits entrent généralement en conflit : le droit d’accès du public à l’information (en particulier concernant les personnes occupant des fonctions publiques) et le droit de l’individu à la protection de ses données personnelles, y compris le droit à l’effacement, protection de son nom, de son image, etc. Les mêmes problèmes ont été examinés dans cette affaire, comme nous l’avons écrit lors du rapport sur l’avis de l’AG rendu dans la procédure. Dans l’arrêt du 8 décembre 2022, la Cour a jugé que la personne qui demande la suppression des données est tenue de démontrer que les informations sont manifestement inexactes. « Toutefois, afin d’éviter d’imposer à cette personne une charge excessive susceptible de porter atteinte à l’effet pratique du droit au déréférencement, cette personne ne doit fournir que des éléments de preuve qui, au vu des circonstances de l’espèce, peuvent être raisonnablement tenu de chercher à établir cette inexactitude manifeste » (par. 68). Cela signifie qu’une telle personne ne peut être tenu de présenter une décision judiciaire à l’encontre de l’éditeur du site Internet en cause, même sous la forme d’une décision rendue en référé, car ce serait une charge déraisonnable imposée à une telle personne. En même temps « l’exploitant du moteur de recherche concerné ne saurait être tenu d’enquêter sur les faits et, à cette fin, d’organiser un débat contradictoire avec le fournisseur de contenu en vue d’obtenir des informations manquantes sur l’exactitude du contenu référencé » (§ 71). Dès lors, jeSi la personne qui a effectué une demande de déréférencement apporte des preuves pertinentes et suffisantes démontrant l’inexactitude manifeste des informations trouvées dans le contenu référencé, l’opérateur du moteur de recherche est tenu d’accéder à cette demande de déréférencement. Mais un opérateur ne devrait pas accéder à une demande si le caractère inexact de l’information n’est pas évident à la lumière des preuves présentées (paragraphes 72 et 73).
En ce qui concerne le vignettes, la Cour a conclu que « une mise en balance distincte des droits et intérêts concurrents s’impose selon qu’il s’agit, d’une part, d’articles contenant des photographies qui sont publiés sur une page Internet et qui, replacés dans leur contexte d’origine, illustrent les informations fournies dans ces articles et les opinions qui y sont exprimées ou, au contraire, des photographies affichées dans la liste des résultats sous forme de vignettes par l’exploitant d’un moteur de recherche en dehors du contexte dans lequel elles ont été publiées sur la page Internet d’origine » (par. 101). La Cour a également précisé que la valeur informative de ces images devait être prise en compte indépendamment du contexte de leur publication sur le site internet dont elles sont issues, en tenant néanmoins compte de l’ensemble du contenu qui accompagne directement l’affichage de ces images dans les résultats de recherche et cela peut expliquer la valeur informative de ces images (par. 108).
Le concept de « copie des données personnelles » au sens de l’article 15, paragraphe 3, du RGPD. AG Avis de Pitruzzella sur Österreichische Datenschutzbehörde cas (C‑487/21)
Le différend est né de l’interprétation de l’article 15, paragraphe 3, du RGPD, qui prévoit qu’une personne concernée, dans le cadre du droit d’accès à ses données personnelles, peut obtenir une copie de ces données. Le plaignant a demandé une copie exacte des données traitées par le responsable du traitement, y compris des copies complètes des documents contenant ses données personnelles. Cependant, le contrôleur n’ont fourni qu’une partie des informations demandées sous la forme d’un agrégat reproduisant les données personnelles stockées de la personne concernée dans un tableau ventilé par nom, date de naissance, rue, code postal et lieu, et dans une déclaration résumant les fonctions et les pouvoirs de l’entreprise représentation. Dans le cadre de la procédure, la juridiction nationale a décidé de poser à la Cour plusieurs questions concernant l’interprétation de l’article 15, paragraphe 3, du RGPD.
Le 15 décembre 2022, l’AG a rendu un avis indiquant que la notion de « copie » visée à l’article 15(3) du RGPD doit être comprise comme «une reproduction fidèle sous forme intelligible des données personnelles demandées par la personne concernéesous une forme matérielle et permanente, permettant à la personne concernée d’exercer effectivement son droit d’accès à ses données personnelles en pleine connaissance de toutes ses données personnelles faisant l’objet d’un traitement – y compris toute autre donnée qui pourrait être générée en tant que résultant du traitement, si ceux-ci font également l’objet d’un traitement – afin de pouvoir en vérifier l’exactitude et lui permettre de s’assurer de la loyauté et de la licéité du traitement afin de pouvoir, le cas échéant, d’exercer d’autres droits qui lui sont conférés par le RGPD ». L’AG a souligné que tcette disposition ne donne pas, en principe, le droit à la personne concernée d’obtenir une copie complète des documents contenant les données à caractère personnel, mais, en même temps, n’exclut pas la nécessité de fournir à cette personne des extraits de documents, des documents entiers ou des extraits de bases de données si nécessaire pour garantir la parfaite intelligibilité des données à caractère personnel faisant l’objet du traitement.
Droit de connaître l’identité des personnes qui ont eu accès à ses données personnelles. AG Campos Sánchez-Bordona sur Affaire Pankki S (C-579/21)
La troisième affaire concernait également le droit d’accès aux données personnelles, mais sous un angle différent. La personne concernée voulait savoir qui exactement (parmi les employés de l’institution financière) a eu accès à ses données personnelles à l’époque où il était client de cet établissement et un employé de celui-ci. Le contrôleur a refusé de fournir les noms des employés en faisant valoir que L’article 15 du GDPR ne s’applique pas aux données de journal du système de traitement des données de l’institution et que les informations demandées ne concernent pas les données personnelles de la personne concernée, mais les données personnelles des employés.
L’AG a approuvé le point de vue du responsable du traitement et a déclaré que l’article 15, paragraphe 1, du RGPD « ne confère pas à la personne concernée le droit de connaître, parmi les informations dont dispose le responsable du traitement (le cas échéant, par le biais d’enregistrements ou de données de journal), l’identité du ou des salariés qui, sous l’autorité et sur les instructions du responsable du traitement, avoir consulté ses données personnelles« . Pour justifier son opinion, il a souligné que « l’identité des employés individuels qui ont traité le traitement des données des clients est informations particulièrement sensibles d’un point de vue sécuritaire, du moins dans certains secteurs économiques » (par. 76). La divulgation des données des employés pourrait les exposer à des tentatives de pression et d’influence de la part des clients de l’institution bancaire. Nnéanmoins, l’AG a noté que si une personne concernée a doutes raisonnables sur l’intégrité ou l’impartialité d’une personne qui a participé pour le compte du responsable du traitement au traitement de ses données, cela pourrait justifier l’intérêt de ce client à connaître l’identité de l’employé afin d’exercer le droit du client de prendre une action contre cet employé (par. 78 ; nb. dans le cas concerné, la personne concernée a formulé sa demande, notamment, afin de clarifier les raisons de son licenciement).
Bibliographie :
Lettres à M. Malthus sur l’économie politique et la stagnation du commerce.,Référence litéraire de cet ouvrage. Disponible à l’achat sur les plateformes Amazon, Fnac, Cultura ….
mutualite55.fr vous a reproduit ce post qui parle du sujet « Défense des patients ». Le site mutualite55.fr a pour but de publier plusieurs publications sur le thème Défense des patients développées sur la toile. La chronique est reproduite du mieux possible. Dans le cas où vous envisagez d’apporter des notes sur le thème « Défense des patients », vous êtes libre de prendre contact avec notre équipe. Il y aura plusieurs développements autour du sujet « Défense des patients » à brève échéance, nous vous invitons à naviguer sur notre site internet périodiquement.