Pensez-vous vraiment possible de contourner le RGPD sans risque ?
Pour y « échapper », certains acteurs n’hésitent pas à mettre en place des organisations ou des systèmes compliqués. Le plus classique – et qui est régulièrement contrecarré par l’analyse juridique – consiste à s’interdire de collecter des données directement, voire indirectement, identifiantes pour revendiquer l’anonymat. Une autre solution, fréquemment rencontrée, consiste à alléguer une absence de traitement de la donnée.
Clair comme de l’eau de roche, me direz-vous.
Illustration. Dans une décision du 13 avril 2013, la CNIL italienne a considéré que l’Ordre des avocats d’Ancône ne pouvait écarter sa qualité de responsable du traitement du fait du stockage des données – en l’occurrence, les identifiant et mot de passe – dans le navigateur de l’internaute.
Le juge autrichien semble avoir tranché en sens inverse, considérant que l’éditeur d’une application mobile ne transférant pas (ou plus, en l’occurrence) les données en dehors du terminal ne pouvait être considéré comme responsable de traitement (BVwG, 7 septembre 2023, n° W211 2261980-1).
Délicat. Concrètement, si l’accès aux données est un indice en faveur de la qualification de responsable de traitement (CE, 18 décembre 2015, Loc Car Dream, n° 384794), ce n’est pas une condition sine qua non (Guidelines 07/2020 on the concepts of controller and processor in the GDPR, §45).
L’ANS a ainsi été considérée comme responsable du traitement permettant de partager le volet de synthèse médicale du DMP au niveau européen, sans pouvoir accéder aux données de santé (Délibération n° 2020-071 du 16 juillet 2020).
Alors, décisions éminemment casuistiques ou divergence d’opinions entre juridictions?
Et de votre côté, avez-vous rencontré des cas similaires ? des tactiques alternatives?