Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 11 mars 2024

Données

La Commission européenne doit revoir son contrat avec Microsoft 365 : publication de la position du Contrôleur européen de la protection des données

• A l’issue de ses investigations, le Contrôleur Européen de la Protection des Données (CEPD) a constaté que la Commission européenne a enfreint plusieurs règles essentielles de protection des données lors de l’utilisation de Microsoft 365. Dans sa décision, le CEPD impose des mesures correctives à la Commission.
  Le Contrôleur Européen de la Protection des Données (CEPD) a constaté que la Commission européenne a enfreint plusieurs dispositions du Règlement (UE) 2018/1725 du 23 octobre 2019 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données lors de l’utilisation de Microsoft 365.
  En particulier, la Commission n’a pas réussi à garantir un degré de protection des données personnelles transférées en dehors de l’UE et de l’Espace économique européen (EEE), équivalent à celui de l’Union européenne. Par ailleurs, dans son contrat avec Microsoft, la Commission n’a pas suffisamment précisé quels types de données personnelles sont collectées et pour quelles finalités dans le cadre de l’utilisation de Microsoft. Les infractions reprochées à la Commission en tant que responsable de traitement sont également liées au traitement de données, incluant les transferts de données personnelles, effectué pour son compte.
  Le CEPD a ainsi ordonné à la Commission de suspendre tous les flux de données résultant de son utilisation de Microsoft 365 à destination de Microsoft et de ses sociétés affiliées situées en dehors de l’Union européenne et de l’Espace économique européen, non soumises à une décision d’adéquation. Le CEPD a également enjoint la Commission de rendre conforme au Règlement (EU) 2018/1725, les traitements résultant de l’utilisation de Microsoft 365.
  La Commission a désormais jusqu’au 9 décembre 2024 pour mettre en application les dispositions des deux ordonnances du CEPD. (EDPS/2024/,  mars 2024 - en anglais)

L’effacement de données traitées de manière illicite, un pouvoir reconnu aux autorités de contrôle nationales

• Dans un arrêt du 14 mars 2024, la Cour de Justice précise l’étendue des pouvoirs de l’autorité de contrôle d’un État membre. Celle-ci peut ordonner l’effacement de données traitées de manière illicite et ce même en l’absence d’une demande de la personne concernée
  En 2020, l’administration d’Ujpest (Hongrie) a décidé de fournir une aide financière aux personnes fragilisées par la pandémie de COVID-19, sous réserve de remplir certaines conditions d’éligibilité. Elle s’est adressée aux autorités compétentes hongroises pour obtenir les données à caractère personnel nécessaires à la vérification de ces conditions d’éligibilité. Parmi ses données, se trouvaient notamment les données d’identification de base et les numéros de sécurité sociale des personnes physiques.
  Les autorités hongroises ont transmis les données demandées et l’administration d’Ujpest a rassemblé ces informations dans une base de données conçue en vue de la mise en œuvre de son programme d’aide. Alertée par un signalement, l’autorité de contrôle hongroise a mené des investigations sur le traitement des données à caractère personnel réalisé par le programme d’aide. Après avoir constaté que l’administration d’Ujpest a violé plusieurs dispositions du RGPD, elle lui a ordonné d’effacer les données à caractère personnel des personnes concernées et l’a condamné, aux côtés du Trésor public, à payer une amende.
  Le litige a été porté jusque devant la Cour constitutionnelle hongroise, qui a alors soulevé une question préjudicielle devant la Cour de justice de l’Union européenne. Il était demandé à la Cour d’interpréter le RGPD et de se prononcer sur le pouvoir d’une autorité de contrôle d’un État membre d’exiger du responsable de traitement ou du sous traitant qu’il efface les données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce bien que la personne concernée n’ait pas présenté une telle demande.
  Dans son arrêt du 14 mars 2024, la Cour de justice répond à cette question par l’affirmative. L’autorité de contrôle d’un État membre est effectivement habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices, à ordonner au responsable du traitement ou au sous-traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite. La circonstance selon laquelle aucune demande en vue d’exercer ses droits n’a été présentée à cet effet par la personne concernée est indifférente. La Cour précise que cette prérogative peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source. (CJUE 14 mars 2024, C-46/23)

La conciliation entre le droit du public à l’accès aux documents officiels et la protection des données à caractère personnel

• Dans un arrêt du 7 mars 2024, la Cour de Justice de l’Union européenne déclare que la communication orale d’informations relatives à d’éventuelles condamnations pénales dont une personne a fait l’objet constitue un traitement de données à caractère personnel (RGPD art. 2, 3, 6, 10). L’accès de ces données figurant dans des documents officiels doit être concilié avec la protection des données personnelles (RGDP, art. 86 ).
  Une société a demandé oralement au Tribunal de première instance du Savo Mériodional (Finlande) des informations relatives à d’éventuelles condamnations pénales en cours ou déjà purgées d’une personne participant à un concours organisé par elle en vue d’établir ses antécédents judiciaires. Si le tribunal a considéré que cette demande portait sur des décisions ou des informations publiques au sens de la loi relative à la publicité de la procédure devant les juridictions ordinaires, il a surtout rejeté la demande de la société au motif que le fait d’effectuer des recherches dans les systèmes d’information de la...