Le RGPD contraint-il les détenteurs de données à l’auto-incrimination?Cela fait très série policière, mais le droit de ne pas contribuer à sa propre incrimination est protégé, en France, au travers de l’article 6 de la CEDH. L’objectif est clair : ne pas être contraint à fournir aux autorités des éléments qui pourraient être retournés contre la personne.
Ce droit n’est toutefois pas absolu. Il est ainsi permis aux autorités de prévoir des procédures permettant d’obtenir des éléments qui existent, indépendamment de la volonté de la personne (CEDH, 17 décembre 1996, Saunders c. Royaume-Uni ; Crim., 10 décembre 2019, n° 18-86878).
En matière de protection des données, la CNIL estime donc que ce droit ne lui est pas opposable, a minima tant que la procédure de sanction n’a pas été ouverte (SAN-2022-025). Cette conclusion paraît peu discutable en jurisprudence, la Cour de Justice de l’UE ayant validé ce point à propos des autorités de la concurrence, il ya déjà longtemps (CJCE, 29 juin 2006, n° C-301/04).
La question que l’on peut se poser, alors, est celle d’une application « horizontale » de ce droit, c’est-à-dire entre personnes. Concrètement, un responsable de traitement peut-il rejeter un droit d’accès au motif que la personne entend utiliser sa réponse à des fins contentieuses?
La réponse récemment apportée est unanimement négative (GPDP, 7 mars 2024, n° 10007853 ; CJUE, 27 mai 2024, n° C‑312/23).
Peut-être est-elle trop sévère? Concrètement, si des garanties procédures permettent de justifier l’atteinte « vertical », ici dans les rapports avec la CNIL, rien ne permet de justifier la position adoptée par l’APD italienne et la CJUE, sinon une compréhension littérale, rigoriste du RGPD.
Indéniablement, le texte ne permet pas d’écarter le droit d’accès au regard des motifs poursuivis.
Mais le raisonnement pouvait-il en rester là? Car de façon générale, le texte doit être mis en balance avec d’autres droits et libertés. A titre d’illustration, le droit à la preuve a ainsi autorisé des entorses sérieuses au principe d’intégrité et de confidentialité.
C’est ici qu’apparaît la politique jurisprudentielle.
Concrètement, reconnaître l’opposabilité de ce droit entre personnes physiques et morales aurait des conséquences gravissimes. Elle permettrait au débiteur de limiter, voire d’écarter la possibilité d’un recours contre lui. Pour éviter une telle situation, en matière de responsabilité médicale, les juges ont ainsi la possibilité de tirer les conséquences du défaut de communication d’un élément du dossier, voire d’y noter une faute, en soi.
Ici, c’est une interprétation littérale du texte qui doit donc prédominer. Dura lex, sed lex.
Reste toutefois une question : comment s’y retrouver entre les dispositions d’interprétation larges et celles d’interprétation stricte du RGPD?
Qu’en pensez-vous? Avez-vous eu à gérer de telles situations? Partagez vos RETEX en commentaires.
Des demandes délicates à gérer ? Besoin de cadrer la façon dont vous analysez et traitez les demandes RGPD ? N’hésitez pas à me contacter.