Conclusions de l’Avocat géné­ral M. Priit Pikamäe du 31 mars 2022, Affaire de la Cour de justice de l’Union euro­péenne (CJUE) C‑77/​21, Digi c. Nemzeti.

La notion de fina­lité compatible

Le prin­cipe de fina­lité (ou prin­cipe de respect du but) impose au respon­sable du trai­te­ment qu’il ne traite des données person­nelles que dans le but qui est indi­qué lors de leur collecte, qui est prévu par une loi ou qui ressort des circons­tances. Ce prin­cipe est commun au droit suisse actuel (art. 4 al. 3 LPD) et futur (art. 6 al. 3 nLPD), ainsi qu’en droit euro­péen qui parle pour sa part de limi­ta­tion des fina­li­tés (art. 5 par. 1 let. b RGPD). Conformément au carac­tère déter­miné des fina­li­tés, lequel s’apprécie selon les circons­tances, des buts vagues, non défi­nis ou impré­cis ne suffisent pas.

Le prin­cipe de fina­lité est précisé par la notion de « fina­lité compa­tible ». Cette notion, désor­mais expli­ci­te­ment ancrée au sein de la nLPD, prévoit que les données person­nelles collec­tées pour certaines fina­li­tés doivent être trai­tées ulté­rieu­re­ment de manière compa­tible avec ces fina­li­tés (art. 6 al. 3 nLPD et art. 5 par. 1 let. b RGPD). Elle vise autre­ment dit à défi­nir les limites dans lesquelles les données person­nelles collec­tées pour une fina­lité donnée peuvent être réutilisées.

Si le droit euro­péen connais­sait déjà cette notion préa­la­ble­ment au RGPD, l’ajout du légis­la­teur au sein de la nLPD ne consti­tue cepen­dant pas un chan­ge­ment majeur. Un trai­te­ment ulté­rieur que la personne concer­née consi­dère légi­ti­me­ment comme inat­tendu, inap­pro­prié ou contes­table est aujourd’hui déjà inad­mis­sible (à ce propos, cf. Sylvain Métille, Le trai­te­ment de données person­nelles sous l’angle de la (nouvelle) Loi fédé­rale sur la protec­tion des données du 25 septembre 2020, p. 10).

L’affaire devant la CJUE

L’entreprise Digi est l’un des prin­ci­paux four­nis­seurs de services Internet et de télé­vi­sion en Hongrie. En raison d’une défaillance tech­nique affec­tant le bon fonc­tion­ne­ment d’un serveur, elle crée en avril 2018 une base de données test, dans laquelle elle copie les données person­nelles d’une partie de ses clients. L’idée est de sécu­ri­ser les données au sein d’une base de données addi­tion­nelle afin de procé­der à des diag­nos­tics de sécu­rité visant à pallier la défaillance technique.

Un peu plus d’une année plus tard, Digi est contac­tée par un pirate éthique qui l’informe avoir eu accès aux données person­nelles d’environ 322’000 de ses clients par le biais de la base de données test. Prenant acte de cette infor­ma­tion, elle corrige la faille, supprime la base de données test et noti­fie la viola­tion de la sécu­rité des données à l’autorité hongroise de protec­tion des données confor­mé­ment à son obli­ga­tion (art. 33 RGPD).

Une enquête est alors ouverte et s’achève par le prononcé d’une déci­sion condam­nant la société Digi à une amende admi­nis­tra­tive d’environ EUR 270’000.–. L’autorité hongroise de protec­tion des données reproche à Digi, d’une part, d’avoir enfreint la limi­ta­tion des fina­li­tés et la limi­ta­tion de la conser­va­tion (art. 5 par. 1 let. b et e RGPD) et, d’autre part, d’avoir trans­gressé la sécu­rité du trai­te­ment (art. 32 RGPD).

En lien avec la limi­ta­tion des fina­li­tés et de la conser­va­tion, l’autorité hongroise estime que Digi aurait dû suppri­mer la base de données test aussi­tôt les tests néces­saires et les problèmes corri­gés. Dans le cas présent, l’autorité hongroise estime que les données person­nelles ont été conser­vées près de 18 mois sans aucune fina­lité, ce que Digi conteste auprès de la juri­dic­tion de renvoi, qui saisit la CJUE.

Les conclu­sions de l’Avocat général

À titre limi­naire, nous souli­gnons qu’à ce jour la CJUE ne s’est pas pronon­cée sur le fond de l’affaire. Le présent commen­taire se limite aux conclu­sions de l’Avocat géné­ral, qui seront, ou non, suivies par la CJUE.

L’Avocat géné­ral commence son analyse en mettant en exergue le fait qu’il est admis­sible, selon le RGPD, que des données person­nelles puissent être collec­tées ou trai­tées ulté­rieu­re­ment pour plusieurs fina­li­tés. Cette approche répond au besoin de prag­ma­tisme et de flexi­bi­lité requis par les trai­te­ments complexes et peu linéaires de données person­nelles à l’ère numérique.

L’Avocat géné­ral met ensuite en évidence l’exigence de préci­sion de la fina­lité auquel est tenu le respon­sable du trai­te­ment, qui consti­tue une garan­tie fonda­men­tale en termes de prévi­si­bi­lité et de sécu­rité juri­dique. Malgré cette exigence, l’Avocat géné­ral souligne qu’il n’est pas toujours possible d’envisager et de déter­mi­ner la nature ainsi que la portée exacte de tous les trai­te­ments. Pour celui-ci, une défaillance tech­nique illustre parfai­te­ment cette difficulté.

L’Avocat géné­ral pour­suit son analyse sur la notion de compa­ti­bi­lité du trai­te­ment, qui sous l’angle du RGPD, se distingue selon si le trai­te­ment ulté­rieur est notam­ment fondé sur le consen­te­ment de la personne concer­née ou non (ce qui n’est pas le cas en l’espèce) :

• Si le trai­te­ment ulté­rieur repose sur le consen­te­ment de la personne concer­née, le respon­sable du trai­te­ment peut réuti­li­ser les données indé­pen­dam­ment de la compa­ti­bi­lité des fina­li­tés ( 6 par. 4 RGPD a fortiori). Cette déro­ga­tion se justi­fie en raison des infor­ma­tions reçues par la personne concer­née quant au trai­te­ment, et à la possi­bi­lité de s’y oppo­ser (art. 13 et consi­dé­rant 50 RGPD).
• En l’absence de consen­te­ment, le respon­sable du trai­te­ment doit, afin de déter­mi­ner si le trai­te­ment est compa­tible, prendre en compte diffé­rents critères listés à l’ 6 par. 4 RGPD.

Selon les critères listés par l’art. 6 par. 4 RGPD, l’Avocat géné­ral recon­naît qu’il existe un lien entre la fina­lité du recueil initial des données, soit l’exécution du contrat, et un trai­te­ment visant à la sécu­ri­sa­tion de ces données dans une base addi­tion­nelle interne et à la réali­sa­tion de tests, en toute sécu­rité, desti­nés à remé­dier à une défaillance tech­nique. Partant, l’Avocat géné­ral est d’avis que ce trai­te­ment ulté­rieur ne s’écarte pas des fina­li­tés initiales. Il termine son analyse en démon­trant que la limi­ta­tion de la conser­va­tion n’est toute­fois pas respec­tée, du fait que la base de données aurait dû être suppri­mée aussi­tôt l’incident tech­nique résolu.

Opinion du Groupe de travail Article 29 sur la fina­lité des traitements

Remplacé par le Comité euro­péen de la protec­tion des données (CEPD), le groupe de travail Article 29 (G29) a émis en avril 2013 un avis rela­tif au prin­cipe de fina­lité. Bien que cet avis n’ait pas été approuvé par le CEPD, celui-ci n’en demeure pas moins perti­nent. Le G29, en plus de donner des exemples, établit une méthode d’évaluation, en deux étapes, afin de déter­mi­ner si un trai­te­ment ulté­rieur de données est compa­tible avec une fina­lité initiale de collecte.

La première étape consiste en une évalua­tion formelle afin de compa­rer la fina­lité initia­le­ment annon­cée par le respon­sable du trai­te­ment dans le cadre de l’information à four­nir à la personne concer­née et la fina­lité pour­sui­vie ulté­rieu­re­ment. Le but de cette compa­rai­son est de déter­mi­ner si la réuti­li­sa­tion est couverte expli­ci­te­ment ou impli­ci­te­ment par la première finalité.

La deuxième étape vise à aller au-delà de l’information à la personne concer­née. Le respon­sable du trai­te­ment doit dans ce cas analy­ser la fina­lité ulté­rieure et la fina­lité annon­cée en tenant compte de la manière dont elles ont été effec­ti­ve­ment comprises par la personne concernée.

Bien que perti­nente, l’opinion du G29 sur le prin­cipe de fina­lité n’a proba­ble­ment pas été approu­vée par le CEPD unique­ment en raison du fait que les critères issus de l’art. 6 par. 4 RGPD se fondent en partie sur les critères défi­nis par le G29. Ces critères peuvent toute­fois être mieux compris par le respon­sable du trai­te­ment au vu de l’analyse détaillée menée par le G29, raison pour laquelle il nous semble impor­tant que son opinion ne tombe pas dans l’oubli.

Nous signa­lons en dernier lieu que l’art. 5 par. 1 let. b RGPD prévoit expres­sé­ment que le trai­te­ment ulté­rieur à des fins archi­vis­tiques dans l’intérêt public, à des fins de recherche scien­ti­fique ou histo­rique ou à des fins statis­tiques ne doit pas être consi­déré comme incom­pa­tible avec les fina­li­tés initiales (cf. swiss​pri​vacy​.law/​132) pour un exemple en lien avec la réuti­li­sa­tion de données publiques à des fins de recherche).