swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?

Valentin Conrad, le 5 novembre 2021
Edward S. Dove et Jiahong Chang ont publié récem­ment un article sur les consé­quences juri­diques de la publi­ca­tion volon­taire de données person­nelles à l’aune du RGPD. En voici les éléments clés.

Edward S. Dove et Jiahong Chang ont publié récem­ment un article sur les consé­quences juri­diques de la publi­ca­tion volon­taire de données person­nelles à l’aune du RGPD (Edward S. Dove/​Jiahong Chang, What does it mean for a data subject to make their perso­nal data ‘mani­festly public’ ? An analy­sis of GDPR Article 9(2)(e), in International Data Privacy Law, Vol. 11, No. 2, pp. 107 ss). Ils dépeignent aussi certains exemples, dans le secteur des données géné­tiques ou géno­miques, mais nous nous borne­rons à circons­crire la présente contri­bu­tion aux réflexions juri­diques théo­riques de l’article.

En intro­duc­tion, les auteurs rappellent notam­ment que le trai­te­ment de données sensibles (ou portant sur des caté­go­ries parti­cu­lières de données à carac­tère person­nel selon la termi­no­lo­gie euro­péenne) requiert deux condi­tions : (i) le trai­te­ment doit repo­ser sur l’une des six bases de légi­ti­mité ancrées à l’art. 6 par. 1 RGPD et  (ii) le trai­te­ment doit se préva­loir de l’une des dix excep­tions prévues par l’art. 9 par. 2 RGPD. En effet, le trai­te­ment de données person­nelles sensibles est en géné­ral prohibé.

Parmi ces excep­tions, lorsque des données sensibles sont rendues mani­fes­te­ment publiques, l’interdiction géné­ral de trai­te­ment ne s’applique plus (art. 9 par. 2 let. e RGPD) – pour autant que le trai­te­ment repose, en sus, sur une base de légi­ti­mité (art. 6 RGPD). Par commo­dité, nous utili­sons le terme de ‘données sensibles’ pour dési­gner les caté­go­ries parti­cu­lières de données person­nelles dont fait l’objet cet article (qui regroupent notam­ment les données de santé, les données ethniques, les convic­tions reli­gieuses ou poli­tiques, etc.). Les auteurs rappellent aussi que les rares guides trai­tant du sujet se bornent à expli­quer que cette excep­tion doit être inter­pré­tée restrictivement.

À la suite d’exemples trai­tant de registres ou plate­formes publics permet­tant l’accès à des données géné­tiques ou géno­miques, les auteurs constatent que le choix de l’exception invo­quée entraîne des consé­quences juri­diques diffé­rentes. En effet, le respon­sable de trai­te­ment qui trai­tera des données sensibles hési­tera entre les excep­tions suivantes pour légi­ti­mer son trai­te­ment de données person­nelles : le consen­te­ment expli­cite (art. 9 par. 2 let. a RGPD), la recherche scien­ti­fique (art. 9 par. 2 let. j RGPD), ou la publi­ca­tion volon­taire (art. 9 par. 2 let. e RGPD).

S’il choi­sit le consen­te­ment expli­cite, la personne concer­née, qui accepte donc de rendre publi­que­ment acces­sibles des données sensibles, conser­vera son droit de reti­rer son consen­te­ment en tout temps et obli­gera géné­ra­le­ment le respon­sable de trai­te­ment à non seule­ment effa­cer les données concer­nées (art. 17 par. 1 let. b RGPD), mais aussi à commu­ni­quer, si cela n’occasionne pas d’efforts tech­niques ou finan­ciers dispro­por­tion­nés, le retrait du consen­te­ment aux utili­sa­teurs qui ont télé­chargé les données concer­nées (art. 17 par. 2 RGPD).

Au demeu­rant, la vali­dité dudit consen­te­ment pour­rait toute­fois être contes­tée au motif que le but des trai­te­ments ulté­rieurs des données person­nelles sensibles n’est pas clai­re­ment établi au moment où la personne concer­née donne son consen­te­ment. Les auteurs mettent en exergue aussi le fait que les États membres peuvent inter­dire, dans leur légis­la­tion natio­nale, aux personnes concer­nées de consen­tir à certains trai­te­ments de données sensibles et peuvent limi­ter le trai­te­ment de données géné­tiques, biomé­triques, ou de santé (art. 9 par. 2 let. a in fine cum art. 9 par. 4 RGPD).

Si le respon­sable de trai­te­ment choi­sit l’exception fondée sur la mise à dispo­si­tion mani­feste du public de données sensibles par les personne concer­nées, il sera plus diffi­cile pour ces dernières de s’opposer par la suite aux trai­te­ments ulté­rieurs de leurs données sensibles, même si elles peuvent en théo­rie s’opposer au trai­te­ment de leurs données person­nelles (art. 21 RGPD).

Premièrement, le droit d’opposition ne garan­tit pas auto­ma­ti­que­ment l’effacement des données concer­nées (art. 17 par. 2 let. c RGPD) puisque le respon­sable de trai­te­ment pour­rait lui oppo­ser un motif légi­time impérieux.

Deuxièmement, le champ d’application du droit d’opposition inscrit à l’art. 21 RGPD est forte­ment limité. Le droit d’opposition par la personne concer­née n’existe que si la base de légi­ti­mité ressort notam­ment d’une mission d’intérêt public ou d’un inté­rêt légi­time pour­suivi par le respon­sable de trai­te­ment (art. 21 par. 1 RGPD). Selon les auteurs, il en résul­te­rait que les respon­sables de trai­te­ment seraient plus enclins à soule­ver le consen­te­ment expli­cite comme excep­tion à l’interdiction de trai­ter des données person­nelles sensibles, car cela sauve­garde mieux les inté­rêts des personnes concer­nées. Par ailleurs, ils soulèvent les contra­dic­tions d’interprétation des termes « mani­fes­te­ment rendues publiques » par les auto­ri­tés de protec­tion des données.

Pour mieux appré­hen­der la teneur de l’art. 9 par. 1 let. e RGPD, Edward S. Dove et Jiahong Chang proposent une analyse en trois temps :

  1. il sied de véri­fier que l’activité de trai­te­ment est direc­te­ment liée aux données rendues publiques ;
  2. il existe des indices que la personne concer­née a, par un acte déli­béré et affir­ma­tif, rendu les données publiques et que ces données peuvent raison­na­ble­ment être acces­sible par un membre inté­ressé du public ;
  3. la personne concer­née a rendu elle-même ses données person­nelles acces­sibles ou a donné une indi­ca­tion claire à un inter­mé­diaire de le faire à sa place.

Pour conclure, les auteurs jugent l’exception de la mise à dispo­si­tion mani­feste du public de données sensibles comme n’étant ni éthi­que­ment ni juri­di­que­ment appro­priée. En outre, l’invocation de cette excep­tion néces­site de remplir des stan­dards élevés. Nous sommes plutôt d’accord avec ce constat.

Bien que ce ne soit pas le propos de l’article, il est cepen­dant dommage que les auteurs effleurent seule­ment l’exception liée à la recherche scien­ti­fique. Ils soulèvent quand même que l’exception liée à la recherche (art. 9 par. 2 let. j RGPD) oblige les cher­cheurs à un devoir accru en matière de sécu­rité des données, mais pour­rait les exemp­ter de rede­man­der le consen­te­ment des personnes concer­nées comme base de légi­ti­mité, car le RGPD présume la compa­ti­bi­lité d’un but de recherche scien­ti­fique avec le but initial du trai­te­ment de données person­nelles (art. 5 par. 1 let. b RGPD). Nous ajou­te­rions que les allè­ge­ments liés à la recherche dépendent essen­tiel­le­ment du droit des États membres de l’Union euro­péenne (art. 89 par. 2 RGPD), ce qui complique passa­ble­ment la tâche des chercheurs.

Commentaire

Il était inté­res­sant de mettre en exergue cet article, car de nombreux cher­cheurs, dans nos univer­si­tés ou centres de recherche, utilisent des données publiques, issues de registres publics ou des réseaux sociaux, pour réali­ser leurs projets de recherche, pour entraî­ner leurs algo­rithmes, ou pour enri­chir leurs bases de données.

Or, le fait qu’une donnée person­nelle soit acces­sible au public n’ôte pas aux données concer­nées leur protec­tion issue du droit de la person­na­lité ou de la protec­tion des données, les données person­nelles étant un prolon­ge­ment de notre person­na­lité juri­dique, fussent-elles publiques. D’aucuns confondent fréquem­ment la possi­bi­lité d’utiliser une œuvre publique, car fondée sur le droit d’auteur (à travers la publi­ca­tion sous licence libre), et la possi­bi­lité d’utiliser des données personnelles.

En Suisse aussi, nous avons une dispo­si­tion simi­laire, mais dont le champ d’application s’applique tant aux données sensibles qu’aux données person­nelles ordi­naires. Il faut rappe­ler ici que le droit suisse n’exige pas de base de légi­ti­mité pour trai­ter des données person­nelles – sauf pour les organes fédé­raux, lesquels sont soumis au prin­cipe de la léga­lité – mais protège contre les trai­te­ments de données qui porte­raient atteintes à la person­na­lité des personnes concer­nées. L’art. 30 al. 3 nLPD prévoit que « En règle géné­rale, il n’y a pas atteinte à la person­na­lité lorsque la personne concer­née a rendu les données person­nelles acces­sibles à tout un chacun et ne s’est pas oppo­sée expres­sé­ment au trai­te­ment ». Différentes déci­sions judi­ciaires ont pu préci­ser son libellé.

À l’instar de ce que proposent Edward S. Dove et Jiahong Chang à l’aune du RGPD, le Tribunal admi­nis­tra­tif fédé­ral a par exemple exigé que les données person­nelles soient divul­guées publi­que­ment par la personne elle-même et de façon volon­taire. De plus, il ne suffit pas de tolé­rer l’ac­tion d’un tiers sans contri­buer à rendre acces­sible les données. Un compor­te­ment passif de la personne concer­née ne suffit pas à admettre son inten­tion (TAF, arrêt A‑4232/​2015 du 18 avril 2017, consid. 5.4.1 ; TAF, arrêt A‑4086/​2007 du 26 février 2008, consid. 5).

Enfin, comme précisé dans le message du Conseil fédé­ral (FF 2017 6565), il s’agit d’une présomp­tion légale et non d’une fiction, ce qui signi­fie que la personne concer­née aura toujours la possi­bi­lité de démon­trer qu’elle a subi une atteinte à sa personnalité.



Proposition de citation : Valentin Conrad, Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?, 5 novembre 2021 in www.swissprivacy.law/100


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED)
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law