Par un arrêt du 16 novembre 2023, la CJUE a précisé les conditions dans lesquelles une personne concernée peut former un recours contre une décision d’une autorité de contrôle qui a clôturé sa demande de droit d’accès exercée indirectement.
La directive « Police-Justice »[1], adoptée le même jour que le RGPD, constitue avec ce règlement le « paquet européen de protection des données à caractère personnel ». En droit français, cette directive a été transposée dans la Loi Informatique et Libertés[2].
Son champ d’application concerne tout traitement de données personnelles réalisé en « matière pénale » par une « autorité compétente » (autorités judiciaires et police notamment).
Dans l’affaire commentée, une personne concernée avait sollicité une habilitation de sécurité qui lui avait été refusée au motif qu’il ressortait de ses données personnelles des éléments qui ne permettaient pas de lui attribuer une telle habilitation.
La personne concernée avait demandé à l’autorité de contrôle nationale de procéder à des vérifications. Insatisfaite du résultat, elle a formé un recours contre la décision de l’autorité de contrôle devant la juridiction nationale, qui s’est déclarée incompétente.
La Cour de Justice de l’Union européenne (« CJUE »), saisie de l’affaire, a été interrogée sur les conditions dans lesquelles la personne concernée dispose d’un droit de recours contre une décision de l’autorité de contrôle par l’intermédiaire de laquelle elle a exercé ses droits.
L’autorité de contrôle est l’intermédiaire de la personne concernée pour l’exercice de ses droits, dont certains sont limités par la directive « Police-Justice »
Compte tenu de la spécificité de son champ d’application, la directive Police-Justice n’institue pas autant de droits que le RGPD et prévoit des limitations à certains droits.
Il en est ainsi du droit d’accès et du droit de rectification et d’effacement qui peuvent être limités, notamment afin de ne pas gêner les enquêtes et éviter de nuire à la prévention et à la détection des infractions pénales[3].
En pratique, cette limitation conduit à un « droit d’accès indirect », exercé par l’intermédiaire d’une autorité de contrôle compétente[4].
En l’espèce, la base de données à disposition de l’entité chargée de délivrer l’habilitation contenait des données à caractère personnel visées par la directive « Police-Justice ».
Pour cette raison, la personne concernée avait enjoint, suivant le droit d’accès indirect prévu par la directive, à l’autorité de contrôle nationale d’identifier les responsables de traitement et de lui donner accès à la totalité des informations le concernant.
L’autorité de contrôle avait indiqué à la personne concernée avoir procédé aux vérifications nécessaires sur la licéité du traitement de données en cause, sans préciser les données personnelles faisant l’objet du traitement ni en identifier ses responsables et destinataires.
La décision de l’autorité de contrôle relative à l’exercice des droits de la personne concernée est susceptible de recours
La directive « Police-justice » prévoit que l’autorité de contrôle qui agit comme intermédiaire pour exercer les droits de la personne concernée doit informer cette personne du fait qu’elle a procédé aux vérifications, et de son droit de former un recours[5].
La directive prévoit en outre que la personne concernée a droit à un recours juridictionnel effectif contre une décision d’une autorité de contrôle produisant des effets juridiques à son égard[6].
En l’espèce, la juridiction nationale s’était déclarée incompétente pour recevoir le recours juridictionnel formé par la personne concernée contre la décision prise par l’autorité de contrôle.
La CJUE a au contraire jugé que la décision prise par l’autorité de contrôle de clôturer le processus de vérification est une décision qui affecte nécessairement la situation juridique de cette personne.
En conséquence, la Cour a considéré qu’il s’agissait d’une décision juridique contraignante qui doit être susceptible de recours.
Lire l’arrêt de la CJUE du 16 novembre 2023, affaire C-333/22
[1] Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
[2] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
[3] Articles 14, 15 et 16 de la directive « Police-Justice ».
[4] Article 17 de la directive « Police-Justice ». En droit français, l’article 107 de la Loi informatique et liberté désigne la CNIL comme autorité compétente pour permettre à la personne concernée d’exercer ses droits pas son intermédiaire.
[5] §3 de l’article 17 de la directive « Police-Justice ».
[6] Article 53 de la directive « Police-Justice ».
