Actualité
2 min de lecture
18 avril 2024
Selon la CJUE, une autorité de contrôle peut exiger l’effacement de données personnelles traitées de façon illicite et ce, quelle que soit leur source et peu important que la personne concernée ait ou non procédé à une demande d’effacement.

Dans l’affaire qui a donné lieu à l’arrêt du 14 mars 2024, l’administration hongroise avait décidé de fournir une aide financière à certains résidents fragilisés par la pandémie de Covid-19. Pour apprécier leur éligibilité, elle avait collecté des données personnelles. Alertée par un signalement, l’autorité de contrôle hongroise avait notamment relevé que l’administration « n’avait pas informé les personnes concernées, dans le délai d’un mois, des catégories de données à caractère personnel traitées dans le cadre de ce programme, des finalités du traitement en cause, ni des modalités selon lesquelles ces personnes pouvaient exercer leurs droits à cet égard » (point 16). Elle avait condamné l’administration à effacer les données traitées et à payer une amende. Dans son recours contre cette décision, l’administration hongroise faisait valoir que l’autorité de contrôle hongroise n’avait pas le pouvoir d’ordonner l’effacement des données à caractère personnel en l’absence d’une demande présentée par la personne concernée et que le droit à l’effacement était conçu exclusivement comme un droit de la personne concernée. Saisie de questions préjudicielles, la Cour de justice devait déterminer :

  • si une autorité de contrôle peut ordonner l’effacement de données personnelles ayant fait l’objet d’un traitement illicite alors même qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer son droit à l’effacement ; et
  • le cas échéant, si ce pouvoir s’étend à toutes les données, quelle que soit leur source.

En vertu de l’article 58, § 2 d) et g) du RGPD, chaque autorité de contrôle dispose du pouvoir d’ordonner au responsable du traitement ou au sous‑traitant de mettre les opérations de traitement en conformité avec les dispositions du RGPD et d’ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.

L’interprétation de cet article ne laissait guère de place au doute. La Cour, après avoir analysé la lettre de ce texte, le contexte dans lequel il s’inscrit et les objectifs poursuivis, en conclut que « l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits » (point 46). Admettre le contraire reviendrait à laisser le responsable du traitement opérer un traitement illicite (point 45).

Quant à la source des données, la Cour considère qu’il n’y a pas lieu de différencier là où le texte ne le fait pas et ce d’autant plus, lorsqu’une différenciation irait à l’encontre d’une application effective et cohérente du RGPD. Elle décide alors que « le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source » (point 53).

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica Eynard, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
Aller plus loin
Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique
Une approche pluridisciplinaire de l’actualité IP / IT : propriété littéraire et artistique, propriété industrielle et droit du numérique
697,34 € TTC
Dalloz IP/IT - Droit de la propriété intellectuelle et du numérique