Arrêt CJUE C‑184/​20 du 1^er août 2022

Un direc­teur d’une société litua­nienne active dans la protec­tion de l’environnement reçoit des fonds publics. En raison de la percep­tion de ces fonds, la loi litua­nienne lui impose de dépo­ser une décla­ra­tion d’intérêts privés auprès de la Haute commis­sion lituanienne.

Cette décla­ra­tion doit notam­ment indi­quer les rensei­gne­ments suivants, concer­nant tant le décla­rant que son conjoint, concu­bin ou partenaire :

• « cadeaux (autres que ceux de proches) reçus au cours des douze derniers mois civils si leur valeur est supé­rieure à 150 euros ;
• infor­ma­tions sur les tran­sac­tions conclues au cours des douze derniers mois civils et autres tran­sac­tions en cours si la valeur de la tran­sac­tion est supé­rieure à 3 000 euros ;
• proches ou autres personnes ou données connues du décla­rant suscep­tibles de donner lieu à un conflit d’intérêts ».

La décla­ra­tion est ensuite publiée sur le site Internet de la Haute commission.

Le direc­teur s’oppose in casu à rendre une telle décla­ra­tion. Saisi du litige, le tribu­nal admi­nis­tra­tif régio­nal de Vilnius pose deux ques­tions préju­di­cielles à la Cour de justice de l’Union euro­péenne (CJUE) :

1. Le RGPD, en parti­cu­lier son 6 par. 1 let. c RGPD (licéité du trai­te­ment), s’oppose-t-il à la publi­ca­tion sur Internet de la décla­ra­tion d’intérêts privés d’un direc­teur d’une société perce­vant des fonds publics ?
2. L’ 9 par. 1 RGPD (caté­go­ries parti­cu­lières de données person­nelles) s’applique-t-il à la publi­ca­tion de données qui divulguent indi­rec­te­ment l’orientation sexuelle d’une personne

1.  La publi­ca­tion sur Internet de la décla­ra­tion d’intérêts privés

L’art. 6 par. 1 RGPD prévoit les six possi­bi­li­tés exclu­sives qui rendent un trai­te­ment de données person­nelles licite en droit euro­péen. L’art. 6 par. 1 let. c RGPD prévoit la licéité du trai­te­ment à la condi­tion suivante :

« le trai­te­ment est néces­saire au respect d’une obli­ga­tion légale à laquelle le respon­sable du trai­te­ment est soumis ».

La CJUE doit ainsi exami­ner si la publi­ca­tion sur Internet de la décla­ra­tion d’intérêts privés d’un direc­teur d’une société perce­vant des fonds publics est propor­tion­née. Cela implique que le trai­te­ment de données vise un inté­rêt public, est apte à atteindre l’objectif pour­suivi et qu’il n’existe pas de mesure moins intru­sive par rapport aux autres moyens de réali­ser cet objectif.

Concernant l’intérêt public, la mise en ligne de la décla­ra­tion concré­tise le prin­cipe de trans­pa­rence des décla­ra­tions d’intérêts. La CJUE recon­naît que ce prin­cipe sert « à préve­nir les conflits d’intérêts et à lutter contre la corrup­tion dans le secteur public ». Or ces inté­rêts sont « incon­tes­ta­ble­ment d’intérêt public » (par. 75).

Concernant l’aptitude, la CJUE consi­dère que la mise en ligne de la décla­ra­tion est « propre à préve­nir les conflits d’intérêts et la corrup­tion, à accroître la respon­sa­bi­lité des acteurs du secteur public et, partant, à renfor­cer la confiance des citoyens dans l’action publique » (par. 83).

Enfin, la CJUE se penche de manière plus appro­fon­die sur le critère de la néces­sité. Elle critique d’emblée le fait que :

« l’un des prin­ci­paux argu­ments avan­cés par la Haute commis­sion dans la procé­dure au prin­ci­pal pour justi­fier la publi­ca­tion des décla­ra­tions d’intérêts privés est le fait qu’elle ne dispo­se­rait pas des ressources humaines suffi­santes pour contrô­ler effec­ti­ve­ment toutes les décla­ra­tions qui lui sont soumises » (par. 88).

Or le manque de ressource ne peut pas justi­fier une atteinte aux droits fonda­men­taux garan­tis par la Charte des droits fonda­men­taux de l’Union euro­péenne (la protec­tion des données est proté­gée par l’art. 8 de la Charte).

Par ailleurs, le Gouvernement litua­nien a lui-même reconnu que l’obligation de four­nir une décla­ra­tion d’impartialité est suffi­sante pour atteindre les objec­tifs visés. La publi­ca­tion de la décla­ra­tion sur Internet irait ainsi au-delà de ce qui est stric­te­ment nécessaire.

Même si une telle publi­ca­tion devait être néces­saire, la CJUE relève qu’il n’est pas néces­saire de divul­guer les données person­nelles du conjoint, concu­bin ou parte­naire et des proches ou autres personnes connues du décla­rant suscep­tibles de donner lieu à un conflit d’intérêts. Il en va de même pour la publi­ca­tion systé­ma­tique, en ligne, de la liste des tran­sac­tions du décla­rant dont la valeur est supé­rieure à EUR 3’000 ; celle-ci n’est pas non plus stric­te­ment nécessaire.

En effet, la CJUE voit des risques impor­tants, notam­ment crimi­nels, en raison du fait que ces données person­nelles soient acces­sibles sur Internet à un « nombre poten­tiel­le­ment illi­mité de personnes » (par. 102). Cette publi­ca­tion consti­tue donc une ingé­rence grave.

Même si la lutte contre la corrup­tion revêt une impor­tance majeure, une mise en balance doit être effec­tuée. Or, en l’espèce, la CJUE relève qu’aucune garan­tie n’a été mise en place pour contrer les risques d’abus de ces données libre­ment accessibles.

Partant, la CJUE consi­dère que la publi­ca­tion sur Internet des données nomi­na­tives rela­tives au conjoint, concu­bin ou parte­naire du décla­rant ainsi qu’aux personnes proches ou connues suscep­tibles de donner lieu à un conflit d’intérêts, et des données sur toute tran­sac­tion conclue au cours des douze derniers mois civils dont la valeur excède EUR 3’000.- viole l’art. 6 par. 1 RGPD.

2. Les données qui divulguent indi­rec­te­ment l’orientation sexuelle d’une personne sont-elles des données sensibles ?

Selon l’art. 9 par. 1 RGPD :

« Le trai­te­ment des données à carac­tère person­nel qui révèle l’origine raciale ou ethnique, les opinions poli­tiques, les convic­tions reli­gieuses ou philo­so­phiques ou l’appartenance syndi­cale, ainsi que le trai­te­ment des données géné­tiques, des données biomé­triques aux fins d’identifier une personne physique de manière unique, des données concer­nant la santé ou des données concer­nant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».

En l’espèce, la décla­ra­tion d’intérêt contient des données nomi­na­tives sur le conjoint, concu­bin ou parte­naire, ce qui permet de déduire l’orientation sexuelle du déclarant.

L’art. 9 par. 1 RGPD utilise d’abord le terme « révé­ler » pour une première caté­go­rie de données, puis le terme « concer­ner » pour la seconde (« des données concer­nant la santé ou des données concer­nant la vie sexuelle ou l’orientation sexuelle »).

La CJUE refuse toute­fois de se limi­ter à une inter­pré­ta­tion litté­rale et préfère « une analyse contex­tuelle » (par. 124). Premièrement l’art. 4 par. 15 RGPD fait réfé­rence aux « données concer­nant la santé » qui comprennent les données « rela­tives » à la santé. Le consi­dé­rant 35 est égale­ment large : « l’ensemble des données se rappor­tant à l’état de santé ».

La CJUE retient ainsi une « inter­pré­ta­tion large » des données sensibles, ce qui est conforme au but du RGPD : garan­tir un niveau élevé de protec­tion des données personnelles.

Partant, les données qui sont « suscep­tibles de dévoi­ler, de manière indi­recte, des infor­ma­tions sensibles » consti­tuent des données sensibles au sens de l’art. 9 par. 1 RGPD.

À notre avis, cette inter­pré­ta­tion large peut être problé­ma­tique. En effet, il nous semble que grâce aux possi­bi­li­tés actuelles de recou­pe­ment de données, des infor­ma­tions seront souvent « suscep­tibles de dévoi­ler, de manière indi­recte, des infor­ma­tions sensibles », telles que la santé ou l’orientation sexuelle d’une personne. Or le trai­te­ment de données sensibles est soumis à des condi­tions plus strictes (art. 9 par. 2 RGPD) que celles appli­cables aux trai­te­ments de données (art. 6 par. 1 RGPD).

En droit suisse, les données sensibles sont des données « sur » (über) notam­ment la santé, la sphère intime ou l’appartenance à une race (art. 3 let. ch. 2 LPD). La nLPD ne modi­fie pas cet élément (cf. art. 5 let. c nLPD).

Comme le souligne Simon Henseler, le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence (PFPDT) a retenu une inter­pré­ta­tion contex­tuelle des données sensibles dans son rapport final rela­tif à l’E‑Cockpit de PostFinance. En l’espèce, l’E‑Cockpit de PostFinance analy­sait les données de paie­ment des clients et les clas­sait notam­ment dans des caté­go­ries comme méde­cin, hôpi­tal, opti­cien. Cela étant, PostFinance n’utilisait pas ces données. Seul le client pouvait en béné­fi­cier. Le PFPDT a donc consi­déré qu’il ne s’agissait pas d’un trai­te­ment de données sensibles (p. 7–8).

À notre avis, une inter­pré­ta­tion aussi exten­sive des données sensibles, telle que rete­nue en l’espèce par la CJUE, ne se justi­fie pas en droit suisse. En effet, non seule­ment ni la LPD ni la nLPD ne visent à « garan­tir un niveau élevé » de protec­tion des données. Au contraire, le légis­la­teur helvé­tique a volon­tai­re­ment adopté en septembre 2020 une loi bien moins contrai­gnante (la nLPD) que le RGPD. Par ailleurs, l’interprétation systé­ma­tique, effec­tuée par la CJUE, des « données concer­nant la santé » n’est pas non plus trans­po­sable à la nLPD. Partant, cette nouvelle juris­pru­dence n’est selon nous pas trans­po­sable en droit suisse.