A partir de quand traite-t-on des données?
Car l’examen de la jurisprudence en témoigne: tout est traitement, rien n’est traitement, c’est la dose qui fait le traitement! Illustration avec quelques cas récents, et parfois mal interprétés.
Le 28 mars 2023, le Conseil d’Etat autrichien a ainsi considéré que des suppositions émises par des personnes – en l’absence de toute donnée – ne constituaient pas un traitement. Des éléments « positifs » conditionneraient ainsi la caractérisation d’un traitement de données (VwGH, 28 mars 2023, n° Ro 2019/04/0232).
La messagerie électronique, symptomatique de la difficulté
Du concret? Alors si une personne adresse un e-mail à un destinataire erroné, là, c’est un traitement, et a fortiori dépourvu de base juridique? Non. en tout cas, pas en Belgique, l’Autorité de Protection des Données ayant considéré qu’il s’agit alors d’une erreur humaine – et donc potentiellement, d’un défaut de sécurité – et non pas d’un traitement (APD belge, 3 avril 2024, n° 52/2024). Outre un élément positif, il faudrait alors une intention.
A côté de çà, la personne convertissant le contenu d’un QRcode en texte, quand bien même ne serait-il pas conserver, pour le lire ait vue comme traitant des données (CJUE, 5 octobre 2023, Ministerstvo zdravotnictví, n° 659-22).
Cela devient délicat. Surtout si le très récent arrêt Endemol Shine Finland Oy est lu trop vite.
❗Et le fichier, dans tout ça?❗
Dans cet arrêt, la CJUE considère qu’une communication orale est un moyen de traitement (CJUE, 7 mars 2024, Endemol Shine Finland Oy, n° C-740.22), et non pas une “simple » atteinte à la sécurité (XXX). Certes. Mais le caractère métonymique du terme doit ici être pris en compte. La Cour a en effet restreint la portée de sa décision aux données déjà contenues ou appelées à être contenus dans un « fichier ». Dans le cadre de processus non automatisé, la décision fait ainsi plus figure d’arrêt d’espèce que de jurisprudence interprétative.
🗣️ Ok. Mais dans la pratique, que faire? 🗣️
1️⃣ Se poser et réfléchir, idéalement à plusieurs : êtes vous en face d’un traitement? Avez-vous l’intention de traiter des données?
2️⃣ Examiner le niveau de risque : plus les données sont exposées, plus un traitement doit être caractérisé.
3️⃣ Partager le risque : au moindre doute, prendre conseil permet de limiter le niveau de risque.
En tout état de cause, doit être pris en compte un certain « aléa juridictionnel » : les décisions des autorités de protection des données sont empreintes de casuistique, pour ne pas dire de politique juridique.
Avez-vous eu à gérer de telles situations? Des RETEX, des craintes ou des axes de préparation différents? Partagez-les en commentaires.
Des cas délicats à gérer ? Des doutes quant à la qualification de certaines activités ? N’hésitez pas à me contacter.