La Cour de justice de l'Union européenne tranche en faveur d'une interprétation extensive des données sensibles : conséquences et implications

Récent arrêt de la CJUE aux implications potentiellement majeures sur les données personnelles pouvant indirectement permettre de déduire des informations considérées comme sensibles au sens du RGPD.

La Cour de justice de l’Union européenne (CJUE) a rendu le 1er août 2022 un arrêt aux implications potentielles considérables en matière de protection des données à caractère personnel (affaire C-184/20, ECLI:EU:C:2022:601). Par cette décision, la Cour tranche une question fondamentale ayant fait l’objet d’interprétations divergentes, relative à la qualification juridique du traitement de données à caractère personnel pouvant indirectement permettre de déduire des informations considérées comme sensibles au sens du RGPD.

L’arrêt de la CJUE

La saisine de la Cour de justice de l’Union européenne porte sur une affaire lituanienne relative à une législation nationale anti-corruption implémentant la Convention établie sur la base de l'article K.3 paragraphe 2 point c) du traité sur l'Union européenne relative à la lutte contre la corruption impliquant des fonctionnaires des Communautés européennes ou des fonctionnaires des États membres de l'Union européenne. Une personne soumise à cette législation a l’obligation d’effectuer une “déclaration d’intérêts privés” aux autorités administratives lituaniennes, incluant notamment des informations relatives à ses connaissances ainsi qu’à ses proches à des fins d’identification de potentiels conflits d’intérêts.

Par une décision du 7 février 2018, la Haute commission lituanienne de prévention des conflits d’intérêts dans le service public a constaté que le directeur d’un établissement  de droit lituanien percevant des fonds publics dans le domaine de la protection de l’environnement a manqué à son obligation de déposer une déclaration d’intérêts privés. Le directeur de l’établissement introduit devant la juridiction de renvoi un recours en annulation contre cette décision le 6 mars 2018.

L’un des arguments avancés par le requérant consistait à affirmer que la publication d’une déclaration d’intérêts privés porterait atteinte tant à son droit au respect de sa vie privée et à la protection de ses données personnelles qu’à celui des autres personnes qu’il serait, le cas échéant, tenu de mentionner dans sa déclaration.

Se saisissant de ce point, la juridiction de renvoi lituanienne saisit la CJUE d’une question préjudicielle. En substance, la question posée à la juridiction européenne vise à savoir si la divulgation d'informations telles que le nom d’un partenaire ou d’un conjoint constituerait un traitement de données sensibles au sens du RGPD, alors même que ces données ne sont pas en elles-mêmes directement sensibles, mais permettent seulement d’inférer indirectement des informations sensibles, telles que l’orientation sexuelle de la personne concernée.

La CJUE reformule la question de la manière suivante :

“La juridiction de renvoi demande, en substance, si [...] la publication [...] de données à caractère personnel susceptibles de divulguer indirectement les opinions politiques, l’appartenance syndicale ou l’orientation sexuelle d’une personne physique constitue un traitement portant sur les catégories particulières de données à caractère personnel [...].”

La Cour de justice de l’Union européenne tranche clairement la question, en affirmant que doit être considéré comme un traitement de données sensibles “un traitement portant non seulement sur des données intrinsèquement sensibles, mais également sur des données dévoilant indirectement, au terme d’une opération intellectuelle de déduction ou de recoupement, des informations de cette nature”.

Des implications considérables

Les implications d’une telle qualification extensive, par la CJUE, de la catégorie des données sensibles au sens du RGPD ne doivent pas être sous-estimées. L’ensemble des données permettant une déduction plus ou moins précise portant sur une information sensible au sens du RGPD pourrait désormais être soumise aux mêmes obligations strictes relatives au traitement de ce type de données, exposées dans l’article 9.2) du RGPD. C’est-à-dire, la plupart du temps, à un consentement explicite et distinct des personnes concernées au traitement des catégories spéciales de données notamment.

A titre d’exemple, des données de localisation indiquant les lieux de cultes ou les établissements de santé visités par un individu pourraient dorénavant être qualifiées de données sensibles. De même que l’enregistrement de la commande d’un menu végétarien auprès d’un restaurant dans une application de livraison de produits alimentaires.

Précisons que la qualification indirecte de certaines catégories de données sensibles était déjà admise dans certains cas. Typiquement, les données de santé pouvaient être qualifiées “par croisement” (ainsi, des données qui ne sont pas en soi des données informant directement sur l’état de santé d’une personne peuvent devenir des données de santé si, lorsqu’elles sont croisées avec d’autres données, permettent de tirer une conclusion sur l’état de santé ou le risque pour la santé d’une personne) ou “par destination” (sont concernées ici des données qui ne se rapportent pas forcément à l’état de santé d’une personne, mais qui sont collectées ou utilisées avec un but médical). Il faut remarquer cependant que l’arrêt auquel nous nous intéressons ici va bien plus loin dans l’interprétation extensive de la qualification des données sensibles, à deux égards :

  • D’abord, la portée de l’arrêt étend la possibilité de qualifier indirectement des données sensibles à toutes les catégories de données listées dans l’article 9.2), et non plus uniquement à certaines catégories spécifiques telles que les données de santé.
  • Ensuite, la règle énoncée dans l’arrêt va bien plus loin pour les données de santé que l’actuelle caractérisation par croisement ou par destination. Désormais, même des données qui ne sont ni croisées avec d’autres données pour en déduire des informations de santé, ni collectées ou utilisées dans un but médical, pourront malgré tout être qualifiées de données sensibles dès lors qu’une simple “opération intellectuelle de déduction” pourrait potentiellement permettre de tirer des conclusions sur l’état de santé d’une personne. Il s’agit donc d’une règle bien plus large dans son caractère extensif.

Les acteurs du numérique en ligne de mire

Cette décision aura très probablement un impact considérable sur un grand nombre d’acteurs du numérique qui ont, pour certaines, joué pendant des années sur les débats entourant la qualification de données indirectement sensibles afin de contourner les obligations liées à l’article 9 RGPD. 

Certaines organisations ont en effet pu faire valoir (de bonne foi ou pas, par ignorance ou tactique commerciale) qu’elles ne traitaient pas de données sensibles et qu’elles étaient donc soustraites aux obligations additionnelles liées aux traitement de ces catégories de données, tout en collectant une quantité importante de données permettant de déduire indirectement des informations sensibles sur les personnes concernées avec une précision équivalente. Typiquement, si les pages "likées" par un utilisateur d’un réseau social ou les groupes auxquels il appartient ne sont pas techniquement des données sensibles, l’appartenance à un groupe d’entraide pour femmes enceintes, ou l’apposition de mentions “J’aime” sur les pages de journaux orientés politiquement, permettent de déduire des informations sensibles parfaitement précises relatives à l’état de santé d’une personne ou à ses positions politiques.

De nombreux acteurs du numérique ont pu, jusqu’ici, éviter les condamnations basées sur ce type de comportement, en raison du flou juridique et des débats d’interprétation entre autorités de protection des données sur la question du statut juridique des traitements permettant de telles inférences indirectes.

L’arrêt de la CJUE rebat entièrement les cartes pour l’ensemble de ces acteurs, qui ne pourront désormais plus se soustraire aux obligations résultant du traitement de données sensibles. Ils devront désormais, selon toute vraisemblance, implémenter un mécanisme supplémentaire de consentement explicite pour ce type de données, à défaut duquel ils devront implémenter des mécanismes alternatifs (par exemple pour la publicité ciblée ou les algorithmes de recommandation) ne reposant pas sur l'agrégation et la déduction d’informations sensibles portant sur des individus.

Il est vrai qu’un tel arrêt de la Cour de justice de l’Union européenne soulève un nombre important de complexités et de difficultés d’implémentation réelles pour caractériser les données qui, désormais, constituent désormais des données sensibles. La détermination du degré à partir duquel l’inférence permise par certaines données se révélera assez forte et précise pour qualifier ces données comme sensibles et fera sans aucun doute l’objet de nombreuses discussions et probablement de saisine de juridictions dont la CJUE.

Malgré ces complexités et ces interrogations, il est certain qu’une telle décision constitue un pas en avant pour la protection du droit à la vie privée et des données personnelles des citoyens européens en les protégeant contre des traitements non autorisés de leurs données sensibles au sens du RGPD.