Arrêt CJUE C‑129/​21 du 27 octobre 2022

Faits

Proximus est un four­nis­seur de services de télé­com­mu­ni­ca­tion en Belgique compre­nant des annuaires et des services de rensei­gne­ments acces­sibles au public. Ces annuaires comportent le nom, l’adresse et le numéro de télé­phone des abon­nés des diffé­rents opéra­teurs de services téléphoniques.

Ces coor­don­nées sont commu­ni­quées régu­liè­re­ment à Proximus par les opéra­teurs, à moins que les abon­nés n’aient exprimé le souhait de ne pas figu­rer dans les annuaires édités par Proximus. L’entreprise belge trans­met égale­ment les coor­don­nées qu’elle reçoit à un autre four­nis­seur d’annuaires.

Dans cette affaire, le plai­gnant est un abonné de l’opérateur Télénet. Cet opéra­teur ne four­nit pas d’annuaire, mais trans­met les coor­don­nées de ses abon­nés à Proximus.

Le 13 janvier 2019, le plai­gnant demande à Proximus tant de ne pas faire figu­rer ses coor­don­nées dans les annuaires édités par celle-ci que de ne pas les trans­mettre à des tiers. Suivant la demande, Proximus modi­fie le statut de cet abonné afin que ses coor­don­nées ne soient plus publiques.

Par la suite, Proximus reçoit de la part de Télénet la mise à jour pério­dique des données de ses abon­nés, conte­nant les coor­don­nées du plai­gnant sans aucune mention de confi­den­tia­lité. Ces données figurent alors à nouveau dans l’annuaire de Proximus.

Le 14 août 2019, le plai­gnant réitère sa demande à Proximus. Cette dernière l’informe immé­dia­te­ment  qu’elle avait supprimé ses données des annuaires et contacté Google pour que les liens vers son site web soient suppri­més. L’entreprise belge informe égale­ment l’abonné qu’elle avait trans­mis ses coor­don­nées à des tiers et qu’elle les avait informés.

Dans le même temps, l’abonné concerné a déposé une plainte auprès de l’Autorité belge de protec­tion des données (APD) contre Proximus. L’APD a alors imposé à Proximus des mesures correc­tives et lui a imposé une amende de EUR 20’000.- pour viola­tion du RGPD.

Proximus a fait appel de la déci­sion devant la Cour d’appel de Bruxelles qui a inter­pellé la Cour de Justice de l’Union euro­péenne (CJUE) de ques­tions préjudicielles.

Arrêt de la CJUE

Tout d’abord, la Cour d’appel demande si l’art. 12 par. 2 de la direc­tive 2002/​58/​CE, en combi­nai­son avec son art. 2 let. f et l’art. 95 RGPD, permet à une auto­rité de contrôle natio­nale d’exiger le « consen­te­ment », au sens du RGPD, d’un abonné pour la publi­ca­tion de ses données person­nelles dans les annuaires et services de rensei­gne­ments télé­pho­niques acces­sibles au public pour l’opérateur et des four­nis­seurs tiers.

Premièrement, pour la CJUE, le consen­te­ment, au sens de l’art. 4 ch. 11 RGPD, de l’abonné d’un opéra­teur de services télé­pho­niques est exigé afin que les données person­nelles de cet abonné figurent dans des annuaires publiés par des four­nis­seurs autres que cet opérateur.

Partant, l’abonné doit être dûment informé des fina­li­tés pour lesquelles les annuaires sont établis et de toute utili­sa­tion parti­cu­lière qui peut en être faite. En lien avec l’art. 12 par. 1 de la direc­tive 2002/​58, l’obligation d’informer s’étend aussi en cas de trans­mis­sion de données à un ou plusieurs tiers. Dans ce cas, l’abonné devrait être informé de cette possi­bi­lité ainsi que des desti­na­taires ou caté­go­ries de desti­na­taires éven­tuels (sur la ques­tion, cf. swiss​pri​vacy​.law/​179).

La CJUE va même plus loin en rappe­lant sa juris­pru­dence (cf. arrêt CJUE C‑543/​09 du 5 mai 2011) que :

« le consen­te­ment (…) porte sur la fina­lité de la publi­ca­tion des données person­nelles dans un annuaire public, et non sur l’identité d’un four­nis­seur d’annuaire en parti­cu­lier. (…) De ce fait, [l’abonné] n’aura géné­ra­le­ment pas d’intérêt à s’opposer à la publi­ca­tion des mêmes données dans un autre annuaire similaire ». 

Ainsi, une trans­mis­sion de données person­nelles des abon­nés à des tiers est permise sur la base de ce même consentement :

« s’il est garanti que les données ne pour­ront pas être utili­sées à des fins autres que celles pour lesquelles elles ont été collectées ». 

Par consé­quent, un tel consen­te­ment ne suppose pas que, à la date où il est donné, la personne concer­née connaisse néces­sai­re­ment l’identité de tous les four­nis­seurs d’annuaires qui trai­te­ront ses données person­nelles. Une telle commu­ni­ca­tion ulté­rieure ne devra pas faire l’objet d’un nouveau consen­te­ment. Celui-ci peut être fourni soit au propre opéra­teur, soit à l’un de ses partenaires

Dans un deuxième temps, la CJUE estime que lorsqu’un abonné demande à ce que ses données ne figurent plus dans un annuaire, celui-ci retire de facto son consen­te­ment à la publi­ca­tion de ses données. En l’absence d’autres fonde­ments juri­diques au trai­te­ment, ce retrait consti­tue un recours au « droit à l’effacement » des données person­nelles de cet annuaire, selon l’art. 17 par. 1 let. b RGPD et let. d en cas de trai­te­ment illi­cite (cf. aussi CEPD, Lignes direc­trices 05/​2020, p. 117 ss).

Troisièmement, la CJUE juge qu’un tel respon­sable du trai­te­ment doit mettre en œuvre les mesures tech­niques et orga­ni­sa­tion­nelles appro­priées pour infor­mer les autres four­nis­seurs d’annuaires auxquels il a fourni de telles données du retrait du consen­te­ment de la personne concer­née. Ce même respon­sable doit aussi infor­mer l’opérateur qui lui a commu­ni­qué ces données afin que celui-ci prenne les dispo­si­tions néces­saires. Cette obli­ga­tion pour le respon­sable du trai­te­ment découle des art. 5 par. 2 et 24 RGPD.

La CJUE explique que lorsque diffé­rents respon­sables du trai­te­ment se fondent sur un consen­te­ment unique pour trai­ter des données person­nelles dans une même fina­lité, il suffit que la personne concer­née s’adresse à l’un d’eux pour reti­rer son consen­te­ment. Il n’est par consé­quent pas néces­saire qu’elle s’adresse à la personne qui l’a initia­le­ment recueilli. L’obligation d’informer les autres respon­sables incom­bera alors au respon­sable informé du retrait (art. 24 RGPD). À leur tour, ces respon­sables de trai­te­ment devront trans­mettre l’information à ceux à qui ils ont eux-mêmes commu­ni­qué les données.

Finalement, la CJUE conclut que l’art. 17 par. 2 RGPD permet à une auto­rité de contrôle natio­nale d’ordonner à un four­nis­seur d’annuaires, auquel un abonné lui a demandé de ne plus publier des données le concer­nant, de prendre des « mesures raison­nables » afin d’informer les moteurs de recherche de cette demande d’effacement. De surcroît, la Cour rappelle que, selon sa juris­pru­dence constante, les four­nis­seurs de moteur de recherche sont aussi des respon­sables du trai­te­ment de données person­nelles au sens de l’art. 4 par. 7 RGPD (cf. arrêt CJUE C‑136/​19 du 24 septembre 2019, point 35).

Conclusion

Il est impor­tant de rele­ver que l’af­faire est spéci­fique à ses faits, la publi­ca­tion de données person­nelles dans un annuaire public fait l’objet d’un régime parti­cu­lier exigeant un consen­te­ment selon l’art. 12 de la direc­tive e‑Privacy. À noter que la direc­tive ePrivacy est aujourd’hui encore soumise à un proces­sus de révi­sion (cf. swiss​pri​vacy​.law/60).

Cependant, la CJUE donne un aperçu inté­res­sant des obli­ga­tions qu’elle consi­dère comme s’ap­pli­quant aux respon­sables du trai­te­ment. Une personne concer­née fait une demande d’ef­fa­ce­ment en reti­rant son consen­te­ment au trai­te­ment des données person­nelles. Pour ce faire, la personne concer­née peut s’adresser à n’importe quel respon­sable de la « chaîne ». Le respon­sable du trai­te­ment doit alors prendre des mesures pour le noti­fier tant aux respon­sables à qui il aurait commu­ni­qué ces données, qu’à ceux qui les lui ont transmises.