Par Anne-Charlotte Andrieux et Victoire Grosjean
Les annuaires publics sont nombreux sur Internet et ce en dépit de la véritable préoccupation des internautes pour le sort de leurs données personnelles.
Souvent, le droit à l’information est brandi comme justification au partage sans limite des coordonnées des personnes concernées.
Dès lors, comment concilier le droit à l’information du public auquel participent les services d’annuaire public et le droit à la protection des données personnelles des personnes référencées dans ces annuaires ?
La décision Proximus de la Cour de Justice de l’Union européenne du 27 octobre 2022 offre l’occasion de revenir sur les erreurs à éviter lors de la création d’un annuaire public.
Définir et vérifier la base légale du traitement
En application de l’article 6 du RGPD, tout traitement doit être fondé sur une base légale. La mise à disposition des coordonnées d’une personne physique, à titre professionnel ou non, dans le cadre d’un annuaire public ne peut s’affranchir de cette obligation.
Les éditeurs concernés sont dès lors tentés d’invoquer leur intérêt légitime et de se prévaloir du droit à l’information du public, s’abstenant ainsi de solliciter le consentement des personnes concernées.
La prudence est cependant de mise. L’intérêt légitime doit être justifié et ne constitue pas une catégorie de base légale « fourre-tout » destinée à pallier l’inapplicabilité des cinq autres bases légales.
Une décision récente du Tribunal judiciaire de Chambéry du 15 septembre 2022 portant sur les fiches Google My business en est la preuve. Dans cette affaire, Google proposait au public des fiches sur des professionnels et permettait le dépôt d’avis anonymes, sans que les professionnels n’y consentent. Le Tribunal a jugé que le droit à l’information du public ne pouvait justifier un tel traitement, d’autant que ce droit implique un droit à la fiabilité de l’information, ce que Google n’assurait pas. L’intérêt légitime de Google a dès lors été écarté.
Dans l’affaire Proximus, la CJUE a rappelé que s’il est permis aux opérateurs de téléphonie de transmettre les coordonnées de leurs abonnés à des services d’annuaire, le consentement des personnes concernées est nécessaire. A ce titre, ce consentement doit résulter d’un acte positif clair et ne peut donc prendre la forme d’une case pré-cochée. Il est dès lors essentiel de porter une attention toute particulière aux modalités de recueil du consentement et de s’assurer, avant d’obtenir les informations d’un partenaire, que celles-ci aient été collectées en conformité avec les dispositions du RGPD et les recommandations de la CNIL.
La CJUE rappelle également que le consentement ne peut être recueilli de manière conforme au RGPD que si la personne concernée a été informée de l’utilisation qui sera faite de ses coordonnées (en l’espèce, l’utilisation dans un annuaire public) et des catégories de destinataires des données.
Si ces exigences ne sont pas respectées, l’illicéité du traitement rejaillira sur le service d’annuaire.
La CNIL invite les services d’annuaire à la prudence et à la rigueur lors de l’achat de bases auprès des opérateurs que ce soit lors du choix de la source des données, mais également lors de la rédaction du contrat d’achat. Celui-ci devrait en effet faire état des vérifications et des garanties de conformité apportées, mais également encadrer la responsabilité des parties en cas de défaillance.
Assurer l’effectivité du droit à l’oubli des personnes concernées
L’article 17 du RGPD offre aux personnes concernées un droit à l’effacement, également connu sous le vocable de « droit à l’oubli ». Ce droit peut également se déduire du retrait du consentement donné par la personne concernée. Il s’agit de la possibilité offerte à toute personne de demander au responsable de traitement de supprimer les données personnelles la concernant.
Ce droit doit être effectif, ce qui implique, selon la CJUE, la mise en place de mesures techniques et organisationnelles réelles et efficaces.
Pour les services d’annuaires publics, cette obligation implique :
- Que le service d’annuaire soit capable d’avertir les autres responsables de traitement de cette demande, à savoir, la source des coordonnées et les éventuels autres services d’annuaires auxquels il a transmis les données reçues. En d’autres termes, le service d’annuaire destinataire de la demande ne peut se contenter de supprimer les données dans ses seules bases de données, il doit transmettre la demande aux partenaires concernés.
Parmi les mesures à envisager figure notamment celle consistant à s’assurer que toute mise à jour des données de l’annuaire envoyée par la source des données ne conduise pas à republier les coordonnées d’une personne ayant préalablement fait valoir son droit à l’effacement. Telle a été la raison de la condamnation de Proximus.
Du côté de la personne concernée, cela signifie que pour exercer son droit à l’oubli, il lui suffit de s’adresser à l’un quelconque des responsables de traitement pour appliquer son droit à l’oubli.
- Par ailleurs, le service d’annuaire ayant rendu publiques les données personnelles doit informer les moteurs de recherche de la demande. Il s’agit d’une application de l’article 17-2 du RGPD au cas spécifique des annuaires publics :
« Lorsqu'il a rendu publiques les données à caractère personnel et qu'il est tenu de les effacer […], le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci. »
Cette exigence est à replacer au centre des problématiques relatives au déréférencement qui ne cessent d’être soulevées depuis l’entrée en vigueur du RGPD.
Les développements et mesures organisationnelles exigées pour le respect de ces obligations peuvent être conséquents. Concrètement, cela nécessite de mettre en place en amont des procédures permettant de gérer la réception, le traitement et le transfert de ces demandes d’exercice de droit dans le délai d’un mois prévu par le RGPD. Il doit également être envisagé de s’assurer que les mises à jour transmises par les responsables de traitement sources des données ne conduisent pas à la republication des données précédemment effacées.
La CJUE a toutefois rappelé que ces mesures devaient être raisonnables et n’étaient exigées que de la part du responsable de traitement ayant rendu publiques les données personnelles.
***
De manière plus générale, lorsqu’une demande d’effacement est adressée à un responsable de traitement, celui-ci ne peut se contenter de procéder à la suppression sans en avertir les autres responsables de traitement sources ou destinataires des données de la personne concernée. La justification selon laquelle chaque responsable de traitement fait son affaire de la réception et du traitement de telles demandes ne peut désormais plus prospérer.
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans leur conformité à la règlementation relative à la protection des données personnelles et aux cookies. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocat fiable. Pour nous contacter, cliquez ici.