Décision DSB-D124.3420 de l’Autorité de protec­tion des données autri­chienne du 4 février 2022.

Le cas commence comme souvent avec les jeux de hasard. Un joueur s’inscrit sur un site web de jeu en ligne, joue et perd de l’argent. Cependant, dans la plainte présen­tée devant l’Autorité de protec­tion des données autri­chienne, l’histoire ne s’arrête pas là. En effet, le joueur, plai­gnant, n’en était pas à son premier pari.

Le joueur avait joué aupa­ra­vant sur un site web de jeu en ligne appar­te­nant à l’entreprise B. Après avoir perdu sa mise, il avait allé­gué que l’offre de jeux de hasard de B était illé­gale en Autriche. L’entreprise B a alors accepté de rembour­ser le montant au plai­gnant. Voulant tirer son épingle du jeu, le joueur s’est inscrit à nouveau sur un autre site, cette fois appar­te­nant à l’entreprise C. Une fois encore, la chance ne lui sourit pas et il demanda le rembour­se­ment des sommes perdues, invo­quant à nouveau l’illégalité de l’offre.

L’entreprise C n’a cepen­dant pas accédé à sa demande et le plai­gnant l’a alors action­née en justice. Malheureusement pour lui, les deux entre­prises basées à Malte faisaient partie du même groupe. L’entreprise B a trans­mis les données concer­nant son ancien client à l’entreprise C. Par consé­quent, l’action visant au rembour­se­ment des pertes a été reje­tée pour abus de droit.

Or dans la procé­dure devant l’Autorité de protec­tion des données, c’est bien le cabi­net d’avocats engagé par l’entreprise C qui est l’intimée. Jouant le tout pour le tout, le plai­gnant a estimé qu’il avait été lésé par le cabi­net ainsi que par B et C dans son droit fonda­men­tal à la confi­den­tia­lité des données confor­mé­ment au droit autri­chien. Il esti­mait que l’entreprise B n’était pas en droit de trans­mettre ses données person­nelles à C et a fortiori au cabi­net dans le cadre de la procé­dure. Un tel trans­fert n’était pas prévu par la poli­tique de confi­den­tia­lité de B et il n’avait pas donné son consentement.

L’Autorité autri­chienne saisie doit alors se pronon­cer sur la ques­tion de savoir si le cabi­net d’avocats est en droit de trai­ter, au nom de sa cliente C, les données du plai­gnant dans le cadre d’une procé­dure civile initiée par celui-ci. La ques­tion de la léga­lité de l’offre en ligne de B et C ne font pas partie de l’objet de cette procédure.

Dans sa déci­sion, l’Autorité rappelle tout d’abord les compo­santes du droit fonda­men­tal à la confi­den­tia­lité des données person­nelles consa­cré par le droit autri­chien. Elle explique que ce droit comprend notam­ment une protec­tion pour la personne concer­née contre l’utilisation des données la concer­nant dans la mesure où il existe un inté­rêt digne de protec­tion. Cet aspect s’étend aussi aux commu­ni­ca­tions qui en sont faites.

Comme souvent, ce droit n’est pas absolu. Des restric­tions au droit au secret sont possibles. Dans la mesure où un trai­te­ment des données n’est pas fait dans l’intérêt vital de la personne concer­née ou avec son consen­te­ment, le trai­te­ment peut se justi­fier pour la préser­va­tion des inté­rêts prépon­dé­rants d’autrui.

Pour inter­pré­ter ce droit au secret, l’Autorité autri­chienne souligne que le RGPD et ses prin­cipes, faisant partie inté­grante de son ordre juri­dique, doivent aussi être pris en considération.

Tout d’abord, l’art. 6 par. 1 let. f RGPD dispose qu’un trai­te­ment de données est licite s’il est

« néces­saire aux fins des inté­rêts légi­times pour­sui­vis par le respon­sable du trai­te­ment ou par un tiers. »

Ensuite, l’art. 9 par. 1 du RGPD pose le prin­cipe d’interdiction du trai­te­ment des caté­go­ries parti­cu­lières de données person­nelles. Toutefois, son deuxième para­graphe pose les excep­tions à l’interdiction, notam­ment la let. f en cas

« de trai­te­ment néces­saire à la consta­ta­tion, à l’exer­cice ou à la défense d’un droit en justice ou chaque fois que des juri­dic­tions agissent dans le cadre de leur fonc­tion juri­dic­tion­nelle. »

Cas parti­cu­lier de l’avocat

Le cabi­net d’avocats étant l’intimée dans cette affaire, c’est donc le trai­te­ment de données qu’il a réalisé qui doit être analysé.

L’Autorité autri­chienne relève que les avocats agissent régu­liè­re­ment en tant que respon­sables du trai­te­ment lorsqu’ils traitent des données dans le but de repré­sen­ter leurs clients. Bien qu’ils agissent en vertu d’une procu­ra­tion et soient auto­ri­sés à faire des décla­ra­tions juri­di­que­ment contrai­gnantes pour leurs clients, la déci­sion de trai­ter les données de tiers pour l’exécution du mandat est prise par l’avocat a priori sans instruc­tion. Cette approche est aussi adop­tée par le Comité Européen à la protec­tion des données (cf. Lignes direc­trices 07/​2020 concer­nant les notions de respon­sable du trai­te­ment et de sous-trai­tant dans le RGPD, p. 14).

En l’espèce, l’intimée a pris la déci­sion d’utiliser les données trai­tées à l’origine par B et trans­mises à sa cliente C par le biais d’un échange de données au sein d’un groupe d’entreprise selon l’art. 4 par. 19 RGPD. Conformément au consi­dé­rant 48 RGPD, un inté­rêt légi­time peut décou­ler de la

« trans­mis­sion de données à carac­tère person­nel au sein du groupe d’en­tre­prises à des fins admi­nis­tra­tives internes, y compris le trai­te­ment de données à carac­tère person­nel rela­tives à des clients ou des employés. »

L’art. 9 par. 2 let. f RGPD crée la base juri­dique permet­tant d’utiliser des données parti­cu­lières, même contre la volonté de la personne concer­née, dans le cadre d’une procé­dure judi­ciaire. Selon l’Autorité autri­chienne, cette dispo­si­tion peut égale­ment être utili­sée comme base pour une atteinte au droit au secret.

Cette régle­men­ta­tion vise à éviter qu’un droit ne puisse pas être exercé devant les tribu­naux, dans une procé­dure admi­nis­tra­tive ou extra­ju­di­ciaire ou que la posi­tion de défense soit affai­blie à cause de l’interdiction du trai­te­ment de données parti­cu­lières d’une autre personne. Suivant l’argumentation du cabi­net intimé, l’Autorité autri­chienne juge que les art. 9 par. 2 et 6 par. 1 let. f RGPD, permet­tant d’utiliser l’intérêt légi­time comme base juri­dique, peuvent être combi­nés. Un raison­ne­ment a maiore ad minus est appli­cable. Le consen­te­ment de la personne concer­née n’est alors pas néces­saire au traitement.

L’Autorité autri­chienne juge que le cabi­net d’avocats est habi­lité à utili­ser de tels moyens de défense. Elle rappelle que c’est l’autorité devant laquelle les moyens de preuve sont présen­tés qui doit déci­der de leur admis­si­bi­lité. Elle consi­dère que le fonc­tion­ne­ment effi­cace de la justice consti­tue un inté­rêt public impor­tant. Cela comprend l’accès aux preuves et le droit d’exposer des faits et justi­fie un inté­rêt légi­time de l’intimée au trai­te­ment des données.

Pour l’Autorité autri­chienne, le plai­gnant n’a pas su démon­trer que son inté­rêt légi­time à la confi­den­tia­lité de ses données l’emportait. Partant, elle a jugé qu’il ne pouvait pas empê­cher le cabi­net d’avocats, et donc l’entreprise C qu’il repré­sente, de présen­ter des faits qui pour­raient nuire au succès de son propre procès.

Le cabi­net d’avocats était donc en droit d’invoquer l’art. 6 par. 1 let. f RGPD comme base juri­dique du trai­te­ment. Le plai­gnant a fina­le­ment dû se rési­gner à rester sur le carreau.