CJUE – Données personnelles

Le 4 octobre 2024, la Cour de justice de l’Union européenne (CJUE) a rendu plusieurs arrêts concernant la protection des données personnelles : l’occasion de préciser et de réaffirmer des points de sa jurisprudence, déjà bien établis pour la plupart.

Protection des données personnelles et concurrence déloyale

Dans un arrêt C-21/23 Lindenapotheke sur demande de décision préjudicielle de l’Allemagne, la CJUE a confirmé la possibilité pour un concurrent d’agir sur le fondement des pratiques commerciales déloyales contre l’auteur présumé d’une atteinte à la protection des données. Cet arrêt est également l’occasion de rappeler la définition vaste de la donnée de santé, comprenant les éléments de commande d’un médicament en ligne, non soumis à prescription, quand bien même ces éléments concerneraient une autre personne que le client.

Donnée sensible rendue publique : pas d’autorisation pour le responsable de traitement de traiter d’autres données sensibles non rendues publiques

Dans un arrêt C-446/21 Schrems sur demande de décision préjudicielle de l’Autriche, il a été rappelé que le seul fait de rendre manifestement publique une donnée sensible (orientation sexuelle en l’occurrence) ne donne pas le droit au responsable de traitement de traiter d’autres données sensibles qui n’auraient pas été manifestement rendues publiques.

Possibilité pour les autorités d’accéder aux données d’un téléphone portable : absence de contradiction avec la directive vie privée et communications électroniques

Dans un arrêt C-548/21 Bezirkshauptmannschaft Landeck sur demande de décision préjudicielle de l’Autriche, la Cour a notamment rappelé que la directive vie privée et communications électroniques ne s’oppose pas à ce qu’une règlementation nationale octroie la possibilité aux autorités compétentes d’accéder aux données d’un téléphone portable à des fins de préventions, recherche et détection et poursuite d’infractions pénales, sous conditions.

Violation du RGPD : pas de dommage moral systématique

L’arrêt C-507/23 Patērētāju tiesību aizsardzības centrs (PTAC) sur demande de décision préjudicielle de la Lettonie, a rappelé que la violation du RGPD ne constitue pas à elle seule un dommage moral. La Cour a également rappelé que la réparation prévue à l’article 82 du RGPD, ne constitue pas un mécanisme punitif mais uniquement compensatoire. Il ne doit donc à ce titre permettre que la réparation pleine et entière du préjudice causé. Ne seront donc pas pris en compte l’attitude et la motivation du responsable de traitement dans la détermination du montant des dommages et intérêts alloués.

Signature manuscrite = donnée personnelle

L’arrêt C-200/23 Agentsia po vpisvaniyata, sur demande de décision préjudicielle de la Bulgarie, a confirmé que la signature manuscrite constitue une donnée personnelle. Elle a également réaffirmé que la seule crainte d’une personne d’un potentiel usage abusif de ses données personnelles à la suite d’une violation du RGPD, peut constituer à elle seule un dommage moral.

Rappel des conditions nécessaires à un traitement aux fins des intérêts légitimes du responsable de traitement

L’arrêt C-621/22 Koninklijke Nederlandse Lawn Tennisbond (KNLTB) sur demande de décision préjudicielle des Pays-Bas, rappelle les conditions nécessaires à un traitement aux fins des intérêts légitimes poursuivis par le responsable de traitement. Non seulement le traitement doit être nécessaire à la réalisation de l’intérêt légitime en cause, mais également que les intérêts et droits fondamentaux des personnes concernées ne prévalent pas sur cet intérêt eu égard aux circonstances en cause.