Dans un arrêt du 12 septembre 2024, la CJUE a précisé les conditions permettant de fonder un traitement de données sur la base légale du contrat ou de l’intérêt légitime.
Un traitement de données personnelles est licite lorsqu’il repose sur l’une des six bases légales prévues par le RGPD telles que le consentement ou encore l’exécution d’une obligation légale[1].
Parmi ces bases légales, figurent notamment le contrat et l’intérêt légitime[2].
Interrogée sur la licéité d’un traitement consistant à divulguer les données personnelles d’associés détenteurs de participations indirectes dans un fonds d’investissement (par l’intermédiaire de sociétés fiduciaires) à l’un des associés de ce même fonds, la CJUE a apporté des précisions relatives aux bases légales que sont le contrat et l’intérêt légitime.
La base légale du contrat ne peut pas légitimer un traitement interdit par ledit contrat
Le contrat est envisagé par le RGPD comme une base légale permettant de justifier un traitement nécessaire à son exécution ou à l’exécution de mesures précontractuelles prises à la demande de la personne concernée.
À cet égard, le traitement est considéré comme nécessaire à l’exécution du contrat s’il est objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à la personne concernée, de telle sorte que l’objet principal du contrat ne pourrait être atteint en l’absence de ce traitement[3].
En outre, cette base légale ne trouve à s’appliquer que s’il n’existe pas d’autres solutions praticables et moins intrusives.
En l’espèce, la Cour a relevé que les contrats concernés excluaient expressément la communication des données relatives aux associés indirects à d’autres détenteurs de participations.
La CJUE a donc considéré que la clause interdisant un traitement de données empêche de considérer que ce même traitement serait « nécessaire à l’exécution » du contrat et donc légitime.
L’« intérêt légitime » ne peut légitimer un traitement que dans des conditions strictes
Un traitement de données peut également être fondé sur l’intérêt légitime du responsable de traitement ou d’un tiers. Le recours à cette base légale suppose de respecter les trois conditions cumulatives suivantes :
1. la poursuite d’un « intérêt légitime » par le responsable du traitement ou par un tiers ;
2. la nécessité du traitement de données pour la réalisation de l’intérêt légitime poursuivi ;
Cette seconde condition implique de vérifier que l’intérêt légitime qui fonde le traitement ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux libertés et droits fondamentaux des personnes concernées.
3. l’absence de prévalence des intérêts ou des libertés et droits fondamentaux de la personne concernée.
Cette dernière condition suppose de mettre en balance l’intérêt légitime qui fonde le traitement et les libertés et droits fondamentaux de la personne concernée.
Dans le cas d’espèce, la Cour a, tout d’abord, considéré que l’intérêt d’un associé à obtenir des données personnelles relatives aux autres associés indirects est susceptible de constituer un intérêt légitime (prise de contact, négociation, etc.).
Cela étant, la Cour a relevé qu’il existait d’autres moyens, moins attentatoires pour les personnes concernées, d’obtenir les données, notamment en s’adressant directement au fonds pour qu’il transmette la demande à l’associé concerné.
Enfin, s’agissant de la pondération des intérêts, la CJUE a observé qu’il est possible que l’intérêt des associés indirects à ce que leurs données personnelles demeurent confidentielles puisse prévaloir sur celui des autres associés désireux d’obtenir leurs coordonnées.
Partant, la Cour a jugé qu’il était douteux que le traitement litigieux puisse être justifié au titre d’un intérêt légitime.
Lire l’arrêt de la CJUE du 12 septembre 2024, affaires jointes C-17/22 et C-18/22
[1] RGPD, article 6
[2] RGPD, article 6, paragraphe 1, b) et f)
[3] CJUE, 4, juillet 2023, C-252/21
