A l’instar du dépositaire du secret professionnel, un responsable de traitement peut se retrouver devant une alternative dans le cadre d’une procédure judiciaire. Peut-il ou non transmettre des données lui étant demandées par un juge ou pour sa défense?
La Cour de Cassation a répondu positivement à la 1ère branche de cette interrogation, dans un arrêt remarqué du 8 mars 2023 (Soc., 8 mars 2023, n° 21-12492). Les juges du fond se sont emparés de la solution alors dégagée pour rappeler au responsable de traitement qu’il reste tenu par les règles du RGPD auxquelles le droit à la preuve n’impose pas de déroger. La solution est logique, dès lors que la production de données en justice s’analyse comme un traitement de données (CJUE, 2 mars 2023, Norra Stockholm Bygg AB). Ainsi, dans une décision du 6 juillet 2023, la Cour d’Appel de Paris a souligné la nécessité de respecter le principe de minimisation des données (CA Paris, 6 juillet 2023, n° 23-00059). Les juges envisageaient par exemple que les données versées à des fins probatoires soient pseudonymisées.
Quant à pouvoir produire des données personnelles pour assurer sa défense, rien ne l’interdit. Cependant, cette réutilisation de données doit, en plus, poursuivre une finalité compatible avec celle justifiant le traitement initial des données. L’exercice peut donc être compliqué, voire risqué pour les professionnels. Dans le cadre de litiges entre particuliers, certaines autorités de protection des données vont jusqu’à admettre la captation de données exclusivement à des fins probatoires (Persónuvernd, 14 juin 2023, n° 2022030544). Dans cette hypothèse, c’est donc la plus grande prudence et une extrême parcimonie qui doivent être recommandées aux responsables de traitement. Les juges y veillent scrupuleusement, notamment en matière de défense du médecin (Crim., 2 septembre 2008, n° 07-87169)
Enfin, dans l’hypothèse d’une procédure devant une juridiction extra-européenne, telle qu’une « discovery » américaine, il importe naturellement de veiller à un strict respect des lignes directrices relatives à l’article 49 du Règlement 2016/679, adoptées par le G29 le 6 février 2018.