Blog Données personnelles
Données sensibles : nouvelle notion de « déduction intellectuelle »
Par un arrêt en date du 1er août 2022, la CJUE a été saisie d’une demande de décision préjudicielle portant sur l’interprétation de l’article 6§1 et de l’article 9§1 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données (ci-après le « RGPD »).
Cette demande a été présentée dans le cadre d’un litige lié à une décision de la Haute commission de prévention des conflits d’intérêts dans le service public en Lituanie, constatant le manquement d’un directeur de société lituanienne active dans la protection de l’environnement recevant des fonds publics, à son obligation de déposer une déclaration d’intérêts privés.
En raison de la perception de ces fonds, la loi lituanienne imposait à ce directeur de déposer une déclaration d’intérêts privés auprès de la Haute commission lituanienne. Cette déclaration devait comporter certains renseignements puis être publiée sur le site Internet de la Haute commission. En l’espèce, le directeur de société s’est opposé à cela.
Le tribunal administratif régional de Vilnius a décidé de surseoir à statuer afin de poser deux questions préjudicielles à la CJUE :
- l’article 6§1 du RGPD relatif à la licéité des traitements s’oppose-t-il à la publication sur Internet de la déclaration d’intérêts privés d’un directeur d’une société percevant des fonds publics ?
- l’article 9§1 du RGPD relatif aux catégories particulières de données personnelles s’applique-t-il à la publication de données qui divulguent indirectement l’orientation sexuelle d’une personne ?
C’est sur cette deuxième question que la Cour donne une interprétation large de la notion de donnée sensible qui peut avoir des conséquences importantes sur le champ d’application des exigences du RGPD sur ce type de données dont font partie les données de santé.
Sur la première question
Selon l’article 6§1 du RGPD, un traitement est licite s’il « est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ». Il doit, en outre, relever d’un des cas prévus expressément par le règlement. A ce titre, le traitement qui est nécessaire à l’exécution d’une mission d’intérêt public ou celui qui est nécessaire au respect d’une obligation légale à laquelle est soumis le responsable du traitement est licite. Ce traitement devra également être fondé sur le droit de l’Union ou sur le droit de l’Etat membre auquel le responsable du traitement est soumis.
En l’espèce, même si une telle publication devait être nécessaire, la CJUE relève qu’il n’était pas nécessaire de divulguer certaines données personnelles comme celles du conjoint, concubin ou partenaire et des proches ou autres personnes connues du déclarant, susceptibles de donner lieu à un conflit d’intérêts et qu’une publication en ce sens viole l’article 6§1 du RGPD.
Seules les données dont la publication est effectivement de nature à renforcer les garanties de probité et d’impartialité des responsables publics, à prévenir les conflits d’intérêts et à lutter contre la corruption dans le secteur public peuvent faire l’objet d’un traitement.
Sur la seconde question
L’article 9§1 du RGPD prévoit que « le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits ».
En l’espèce, la déclaration d’intérêt contient des données nominatives sur le conjoint, concubin ou partenaire, ce qui permet de déduire, le cas échéant, l’orientation sexuelle du déclarant.
C’est pourquoi la CJUE devait déterminer si les données qui sont de nature à révéler, par une opération intellectuelle de rapprochement ou de déduction, l’orientation sexuelle d’une personne physique, relèvent des catégories particulières de données à caractère personnel.
La CJUE refuse toutefois de se limiter à une interprétation littérale et préfère une analyse contextuelle, comme elle le précise au paragraphe 124 de l’arrêt. A ce titre, et s’agissant des données de santé, elle précise que l’article 4§15 du RGPD fait référence aux « données concernant la santé » qui comprennent les données « relatives » à la santé.
La notion de donnée de santé est interprétée largement, puisqu’elle comprend les données de santé par nature (p. ex. les antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap, etc) et les données de santé par destination (en fonction de l’utilisation qui en est faite au plan médical).
S’ajoute désormais à ces éléments de définition, la nouvelle notion de « déduction intellectuelle », qui vient donc compléter la doctrine actuelle concernant les données sensibles.
La CJUE fait ainsi une interprétation large des notions de « catégories particulières de données à caractère personnel » et de « données sensibles », puisqu’elle estime que les données qui sont « susceptibles de dévoiler, de manière indirecte, des informations sensibles » constituent des données sensibles au sens de l’article 9§1 du RGPD.
Ainsi, la publication sur le site Internet de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données à caractère personnel susceptibles de divulguer indirectement l’orientation sexuelle d’une personne physique, constitue un traitement portant sur des catégories particulières de données à caractère personnel.
Les conséquences de cet arrêt de la CJUE, qui confirme son interprétation exigeante de la protection des données personnelles seront importantes pour de nombreux acteurs qui collectent de façon massive des données sur les habitudes de vie ou les choix et préférences des personnes. Ils devront s’interroger sur la qualification possible de donnée sensible et respecter dès lors les exigences de l’article 9 du RGPD et de l’article 6 de la loi Informatique et Libertés.