Un responsable de traitement de données personnelles est tenu de prendre des mesures raisonnables afin d’informer d’une demande d’effacement émanant de la personne intéressée les autres responsables de traitements avec lesquels il a échangé les données de cette personne.

Télécharger l'article en pdf (79 Ko)
Par un arrêt du 27 octobre 2022 (1), la Cour de justice de l’Union européenne (CJUE), (i) interprète les notions de consentement et de droit à l’effacement figurant dans la directive 2002/58/CE consolidée du 12 juillet 2002 (2) concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (UE) 2016/679 du 27 avril 2016 (3) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et (ii) précise les prérogatives des autorités nationales de contrôle de la protection des données personnelles.
En l’espèce, désireux que ses coordonnées (nom, adresse, numéro de téléphone) demeurent confidentielles, un abonné de Telenet, opérateur belge de services téléphoniques, a demandé à Proximus, fournisseur de services de télécommunications et également fournisseur d’annuaires téléphoniques, de ne les faire figurer ni dans ces derniers ni dans ceux éventuellement édités par des fournisseurs tiers.
Après avoir dans un premier temps supprimé ces coordonnées, lors d’une mise à jour réalisée par Telenet auprès de Proximus, celles-ci, non indiquées comme confidentielles, ont fait l’objet d’un traitement automatisé conduisant à ce qu’elles soient publiées dans différents annuaires Internet.
De nouveau sollicité par l’abonné, Proximus a contacté Google et les fournisseurs d’annuaires à qui il avait transmis les coordonnées afin que celles-ci soit de nouveau retirées.
Nonobstant ces démarches de la part de Proximus, l’abonné a déposé plainte auprès de l’autorité belge de protection des données laquelle a sanctionné Proximus, qui a par suite interjeté appel.
Confrontée notamment à une question d’interprétation de la notion de consentement des abonnés, la cour d’appel de Bruxelles a saisi la CJUE.
La Cour relève que dès lors qu’un abonné a été informé par un opérateur de services téléphoniques, tel que Telenet, de la possibilité de la transmission des données personnelles le concernant à une entreprise tierce, telle que Proximus ou d’autres tiers, en vue de leur publication dans un annuaire public, et que cet abonné a consenti à la publication de ces données dans un tel annuaire, la transmission par cet opérateur ou par cette entreprise de ces données à une autre entreprise visant à publier un annuaire public imprimé ou électronique, ou à le rendre consultable par l’intermédiaire de services de renseignements, ne doit pas faire de nouveau l’objet d’un consentement de l’abonné, s’il est garanti que les données en cause ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication.
Ainsi, si la partie qui a collecté ces données auprès de l’abonné ou un tiers auquel elles ont été transmises souhaitent les exploiter à d’autres fins, cette partie ou ce tiers devront obtenir une nouvelle fois le consentement de l’abonné.
Ce consentement requiert une manifestation de volonté libre, spécifique, éclairée et univoque de la personne concernée, prenant la forme d’une déclaration ou d’un acte positif clair marquant son acceptation du traitement des données à caractère personnel la concernant.
Un tel consentement ne suppose pas que, à la date à laquelle il est donné, la personne concernée connaisse nécessairement l’identité de tous les fournisseurs d’annuaires qui traiteront ses données personnelles.
Par suite, la Cour considère que le consentement de l’abonné d’un opérateur de services téléphoniques est exigé afin que les données personnelles de cet abonné figurent dans des annuaires publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l’un de ces fournisseurs.
Concernant la notion de droit à l’effacement, la Cour rappelle que de manière générale, les abonnés doivent avoir la possibilité de faire supprimer des annuaires publics leurs données personnelles en retirant leur consentement selon des modalités aussi simples que celles leur ayant permis de le donner.
La Cour relève que contrairement à ce que soutenait Proximus, une demande de suppression des données d’un abonné figurant dans un annuaire ne tend pas à remplacer des données inexactes par des données correctes ou à compléter des données incomplètes, mais tend à supprimer la publication de données correctes.
Ainsi, la demande d’un abonné tendant à la suppression de ses données personnelles des annuaires constitue un recours au droit à l’effacement.
Enfin, dans ce cadre, concernant les compétences des autorités nationales de contrôle de la protection des données personnelles, ces autorités peuvent exiger que le fournisseur d’annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données personnelles de son abonné ainsi que les autres fournisseurs d’annuaires auxquels il a fourni de telles données, du retrait du consentement de cet abonné.
De même, elles peuvent lui ordonner de prendre des « mesures raisonnables », afin d’informer les fournisseurs de moteurs de recherche, tel que Google, de cette demande d’effacement des données. Afin d’apprécier le caractère « raisonnable » des mesures, ces autorités devront prendre en compte notamment la technologie disponible et les coûts de mise en œuvre, cette appréciation pouvant faire l’objet d’un contrôle juridictionnel.
A consulter
- (1) CJUE, C-129/21, 27 octobre 2022 (pdf)
- (2) Directive 2002/58/CE consolidée du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (pdf)
- (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (pdf)