Traitement de données à caractère personnel et obligation minimale d’information de la personne concernée : les précisions de la CJUE
Publié le :
09/01/2024
09
janvier
janv.
01
2024
Dans un arrêt rendu le 16 novembre 2023, la Cour de Justice de l’Union Européenne (CJUE), saisie d’une question préjudicielle par la Cour d’appel de BRUXELLES, s’est prononcée sur la législation européenne s’agissant des droits des citoyens sur le traitement de leurs données policières.Un citoyen, fiché à la Banque Nationale Générale (BNG) pour sa participation à une dizaine de manifestations en l’espace de 10 années, demande à l’autorité nationale de sécurité belge de lui délivrer, à des fins professionnelles, une habilitation de sécurité.
Ce document lui est refusé « pour raisons de sûreté de l’Etat ».
Le requérant a essayé de comprendre cette décision et la contester auprès de l’Organe de contrôle de l’information policière (OCIF), sans succès.
L’OCIF lui indique qu’il ne dispose que d’un accès indirect et qu’il va lui-même vérifier la légalité du traitement de ses données.
Toutefois, à l’issue de cette vérification, cet organe s’est contenté de lui répondre qu’il a procédé aux vérifications nécessaires, sans autres précisions.
Saisie par l’intéressé et la Ligue des droits humains, la cour d’appel de Bruxelles demande à la Cour de justice si le droit de l’Union impose aux États membres de prévoir la possibilité que la personne concernée par le traitement de ses données puisse contester la décision de l’autorité de contrôle lorsque cette dernière exerce les droits de ladite personne à l’égard du traitement en cause.
La Cour considère qu’en informant la personne concernée du résultat des vérifications, l’autorité de contrôle compétente adopte une décision juridiquement contraignante.
Cette décision doit pouvoir faire l’objet d’un recours afin que l’intéressé puisse contester l’appréciation portée par l’autorité de contrôle sur la légalité du traitement de données et la décision de procéder ou non à des mesures correctrices.
La Cour rappelle que le droit de l’Union impose à l’autorité de contrôle d’informer « au moins » la personne concernée « qu’elle a procédé à toutes les vérifications nécessaires ou à un examen » et de « son droit de former un recours juridictionnel ». Il s’agit toutefois de l’exception.
Le principe, lorsque les objectifs d’intérêt public ne s’y opposent pas, est que les États membres doivent prévoir que l’information de la personne concernée puisse aller au-delà de ces informations minimales afin que la personne concernée soit mise en mesure de défendre ses droits et de décider ou non de saisir le juge compétent.
En outre, dans les cas où l’information ainsi fournie à la personne concernée a été limitée au strict minimum, les États membres doivent veiller à ce que le juge compétent puisse mettre en balance les objectifs d’intérêt public poursuivis (sûreté de l’État, prévention ou détection d'infractions pénales, enquêtes ou poursuites) et la nécessité de garantir aux citoyens le respect de leurs droits procéduraux.
Pour ce faire, les règles nationales doivent permettre au juge de prendre connaissance des motifs et des éléments de preuve à l’origine de la décision de l’autorité de contrôle, mais aussi des conclusions qu’elle en a tirées.
Cette décision, bien que rendue à propos de la Banque nationale générale belge, rappelle l’état du droit européen en matière d’accès par les citoyens à leurs données personnelles.
Il appartient désormais à l’Etat belge de modifier sa législation en la matière et de prévoir notamment la possibilité d’exercer un recours juridictionnel à l’encontre de la décision de l’autorité de contrôle des données.
Cet article n'engage que son auteur.
Auteur
Lucie Claverie
Avocate Collaboratrice
AVOCADOUR - membre du GIE AVA
PAU (64)
Historique
-
Podcast : c'est quoi le RGPD ?
Publié le : 16/04/2024 16 avril avr. 04 2024Particuliers / Consommation / Informatique et InternetEntreprises / Gestion de l'entreprise / Informatique et RéseauxUn podcast où l'on retrouve Yoan Tortevoix, qui en dehors de ses activités d'éducateur spécialisé, est également versé dans les systèmes informatiques. La...
-
L'Intelligence artificielle (IA) et l'Avocat
Publié le : 06/02/2024 06 février févr. 02 2024Particuliers / Consommation / Informatique et InternetDans la vidéo suivante Etienne MOUNIELOU, avocat à Saint-Gaudens, évoque avec Jérémy SCHNEIDER, senior data scientist, le sujet suivant : L'intelligen...
-
Traitement de données à caractère personnel et obligation minimale d’information de la personne concernée : les précisions de la CJUE
Publié le : 09/01/2024 09 janvier janv. 01 2024Particuliers / Consommation / Informatique et InternetCollectivités / International / Droit Européen / Droit communautaireDans un arrêt rendu le 16 novembre 2023, la Cour de Justice de l’Union Européenne (CJUE), saisie d’une question préjudicielle par la Cour d’appel de BRUXEL...
-
Apologie d’un acte de terrorisme sur Twitter et compétence territoriale
Publié le : 04/12/2023 04 décembre déc. 12 2023Particuliers / Consommation / Informatique et InternetLe 4 juillet 2022, la direction zonale de la sécurité intérieure nord (DZSI) a dressé un signalement au Procureur de la République de Lille relatif à l’act...
-
Le vendeur doit rapporter la preuve de la régularité du contrat conclu par internet ou par démarchage
Publié le : 23/05/2023 23 mai mai 05 2023Particuliers / Consommation / Informatique et InternetEntreprises / Marketing et ventes / E-commerceLe droit de la consommation est par essence protecteur de la partie dite « faible », le consommateur. La décision rendue par la Cour de cassation le 1er fé...
-
Marketing d’influence : quel encadrement des pratiques des influenceurs en France ?
Publié le : 15/05/2023 15 mai mai 05 2023Particuliers / Consommation / Informatique et InternetEntreprises / Marketing et ventes / Publicité/ marketingVoici une nouvelle catégorie d’acteur dans le monde de la communication : l’influenceur. Il peut être défini comme toute personne physique ou morale qui cr...