La jurisprudence peut-elle être la « base légale » qui justifie le traitement ?
Publié le 24/09/2024 par Etienne Wery 291 vues
Il n’est pas exclu que l’obligation légale qui permet à un responsable de légitimer le traitement de données personnelles, soit constitué par la jurisprudence nationale si celle-ci est claire, précise et prévisible pour les justiciables, et répond de façon proportionnée et nécessaire à un objectif d’intérêt public.
Dans cette affaire, plusieurs sociétés d’investissement, notamment HTB et Ökorenta, demandent la divulgation des noms et adresses des associés détenant des participations indirectes dans des fonds d’investissement, organisés sous la forme de sociétés en commandite. Ces sociétés en commandite sont des structures juridiques où coexistent deux types d’associés : les commandités, qui gèrent la société et sont responsables sur l’ensemble de leur patrimoine, et les commanditaires, qui n’engagent leur responsabilité qu’à hauteur de leur apport en capital. Les associés concernés dans ce litige sont des commanditaires.
Les participations de ces investisseurs sont détenues indirectement via des fiduciaires, c’est-à-dire un intermédiaire qui détient des actifs ou des participations au nom d’un tiers (ici, les investisseurs) et agit pour leur compte. Le but est de permettre (légalement) aux investisseurs de rester anonymes et d’exercer leurs droits par le biais de la société fiduciaire.
C’est précisément cet anonymat que les fiduciaires souhaitent préserver en refusant de divulguer les informations demandées par HTB et Ökorenta.
Les sociétés fiduciaires, qui gèrent ces participations indirectes, refusent de communiquer ces informations, invoquant des clauses contractuelles de confidentialité présentes dans les contrats de participation et de fiducie. Elles soupçonnent que HTB et Ökorenta souhaitent obtenir ces informations non pour des raisons légitimes liées à la gestion de la société, mais plutôt pour des raisons commerciales, p.e. l’achat de parts à un prix inférieur à leur valeur de marché, ce qui pourrait désavantager les autres investisseurs.
Les requérantes, de leur côté, nient toute intention malveillante et affirment que ces informations sont nécessaires pour prendre contact avec les autres associés, notamment dans le cadre d’éventuelles négociations de rachat de parts. Elles soutiennent que ces informations sont indispensables pour exercer pleinement leurs droits en tant qu’associées dans une société de personnes.
La juridiction allemande, se fondant sur une jurisprudence antérieure au Règlement général sur la protection des données (RGPD), estime que cette divulgation pourrait être requise. Cependant, elle demande à la Cour de justice de l’Union européenne (CJUE) si cette divulgation est conforme aux exigences du RGPD.
Quand un traitement est-il nécessaire à l’exécution d’un contrat ?
La Cour renvoie à l’arrêt Meta : pour qu’un traitement de données à caractère personnel soit regardé comme étant nécessaire à l’exécution d’un contrat, au sens de cette disposition, « il doit être objectivement indispensable pour réaliser une finalité faisant partie intégrante de la prestation contractuelle destinée à la personne concernée ». Le responsable du traitement doit ainsi « être en mesure de démontrer en quoi l’objet principal du contrat ne pourrait être atteint en l’absence du traitement en cause ».
La cour doute que l’exécution du contrat de fiducie, dont l’anonymat est un pilier fondateur, puisse justifier un transfert de données qui va à l’encontre de cet objectif.
Elle juge que « la caractéristique essentielle de l’acquisition d’une participation indirecte, par l’intermédiaire d’une société fiduciaire, dans un fonds d’investissement faisant appel public à l’épargne est précisément l’anonymat des associés, y compris dans les relations entre les associés eux-mêmes. En d’autres termes, c’est en tenant compte du traitement confidentiel de leurs données par le fonds d’investissement que les personnes optent pour un placement financier dans un tel fonds sous la forme d’une participation détenue par l’intermédiaire d’une société de participation fiduciaire. »
Partant, et sous réserve d’une vérification par la juridiction de renvoi, cette divulgation ne saurait être considéré comme étant « nécessaire à l’exécution d’un contrat », au sens de l’article 6, paragraphe 1, premier alinéa, sous b), du RGPD, lorsque le contrat à la base de l’acquisition d’une telle participation exclut expressément la divulgation de ces données à d’autres détenteurs de participations. »
L’intérêt légitime
La Cour analyse ensuite l’intérêt légitime, sans innovation majeure par rapport à la jurisprudence antérieure : trois conditions doivent être réunies :
- La poursuite d’un intérêt légitime par le responsable du traitement ou un tiers.
- La nécessité du traitement pour atteindre cet intérêt.
- La pondération entre cet intérêt et les droits et libertés fondamentaux des personnes concernées, notamment leur droit à la protection des données personnelles.
La Cour reconnaît que l’intérêt de prendre contact avec d’autres associés peut être considéré comme légitime ; il rappelle que le concept d’intérêt légitime est à interpréter largement.
La Cour rappelle que le traitement doit être nécessaire pour atteindre cet objectif. En l’occurrence, il existe des alternatives moins intrusives, comme demander aux fiduciaires de transmettre la demande de contact aux autres associés sans divulguer leurs données personnelles. De plus, la Cour souligne l’importance du principe de minimisation des données, qui impose de limiter la divulgation aux informations strictement nécessaires. Elle insiste aussi sur les attentes raisonnables des associés indirects, qui pouvaient s’attendre à ce que leurs données ne soient pas divulguées à d’autres investisseurs, notamment en raison des clauses contractuelles garantissant la confidentialité.
La Cour conclut donc qu’il semble douteux que cette divulgation puisse être justifiée par un intérêt légitime, car d’autres moyens moins intrusifs sont disponibles, et les associés indirects n’avaient probablement pas consenti à cette divulgation.
L’obligation légale peut découler de la jurisprudence
La Cour analyse enfin la notion d’obligation légale, lue dans le contexte des bases de licéité : l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, prévoit qu’un traitement de données à caractère personnel est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
On sait que l’article 6, paragraphe 3, du RGPD précise notamment, à cet égard, que le traitement doit être fondé sur le droit de l’Union ou sur le droit de l’État membre auquel le responsable du traitement est soumis, et que cette base juridique doit répondre à un objectif d’intérêt public et être proportionnée à l’objectif légitime poursuivi.
Jusqu’à présent, les arrêts antérieurs permettent de dire que :
- Faire référence à une base juridique ou à une mesure législative « ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée ».
- Cette base juridique ou cette mesure législative doit être claire et précise, et son application être « prévisible pour les justiciables ».
En pratique, qu’est-ce que cela implique ?
C’est ici que l’arrêt commenté présente un intérêt particulier.
La CJUE déduit en effet des demandes de décision préjudicielle qu’une obligation de divulgation pourrait être déduite de la jurisprudence allemande en la matière, en vertu de laquelle les clauses contractuelles garantissant la confidentialité des coordonnées des associés indirects d’une société de personnes faisant appel public à l’épargne, telle que celles en cause au principal, devraient être considérées comme nulles, de sorte qu’il y aurait lieu de divulguer les données à caractère personnel des associés détenant des participations indirectes dans un fonds d’investissement constitué sous la forme d’une société en commandite faisant appel public à l’épargne.
La Cour estime, sur ce point précis, que « il ne saurait être exclu que le droit de l’État membre auquel le responsable du traitement est soumis, au sens de l’article 6, paragraphe 3, sous b), du RGPD, couvre également la jurisprudence nationale », à condition que :
- une telle jurisprudence soit claire et précise, et
- que son application soit prévisible pour les justiciables, et
- que cette jurisprudence constitue une base juridique répondant à un objectif d’intérêt public, qu’elle soit proportionnée à celui-ci et que le traitement concerné soit opéré dans les limites du strict nécessaire.
Ces conditions sont à vérifier par la juridiction nationale, mais la porte est désormais ouverte.
L’importance de la question ne doit pas être minimisée, notamment pour les traitements effectués par les autorités publiques dans l’exécution de leurs missions. Depuis le RGPD, les traitements publics font en effet l’objet d’un soin particulier, précisément parce qu’ils ne peuvent souvent se fonder que sur l’obligation légale, surtout pour les traitements les plus intrusifs. Il faut dans ce cas veiller à identifier la règle de droit et s’assurer que les finalités du traitement sont définies dans cette base juridique. Comment cette exigence se traduira-t-elle si la jurisprudence peut désormais constutuer la base juridique en question ? Nous sommes perplexes …
L’arrêt est disponible en téléchargement.