La Cour de Justice de l’Union Européenne vient de rendre le 24 novembre 2011 un arrêt important concernant la question du traitement des données personnelles recueillies sans le consentement des personnes.

En l’espèce, l’arrêté royal 172/2007 pris par le gouvernement espagnol autorise le traitement ou la cession de données personnelles sans le consentement de la personne concernée dès lors que cela est justifié par un intérêt légitime et que les données figurent dans des sources accessibles au public.

La légalité de cet arrêté a été contestée par L’Asnef (l’association nationale du crédit) et la Fecemed (Fédération du commerce électronique et marketing direct) qui lui reprochait de ne pas respecter la législation européenne, et plus précisément l’article 7 § f de la directive 95/46 relative aux données personnelles.

L’article 7 § f de la directive autorise que les données personnelles soient traitées sans le consentement des intéressés dès l’instant que deux conditions sont réunies. D’une part, cela doit être nécessaire à la réalisation d’un intérêt légitime et d’autre part, il ne faut pas que cela ne heurte pas les droits et libertés fondamentaux de la personne concernée. En revanche, le texte ne prévoit nullement que ces données doivent figurer dans des sources accessibles au public.

Dès lors, la question qui se pose est de savoir si la directive peut être interprétée en ce sens qu’elle permet que des données traitées sans le consentement  de la personne concernée puissent figurer dans des bases accessibles au public.

Saisie de l’affaire la Cour Suprême espagnole a décidé de surseoir à statuer et de soumettre la question à la CJUE au moyen d’une question préjudicielle.

Dans son arrêt du 24 novembre 2011, la Cour de justice de l’Union Européenne a considéré que la diffusion de données recueillies sans le consentement des intéressés dans des sources accessibles au public implique nécessairement que des informations sur la vie privée seront nécessairement connues par le responsable du traitement ainsi que par le ou les tiers auxquels ces données seront communiquées. Or, cela constitue une atteinte aux droits et libertés fondamentaux de la personne concernée. La diffusion de données traitées sans le consentement des personnes dans une base public viole donc l’article 7 § f de la directive.

En d’autres termes, la CJUE considère que cet article doit s’interpréter restrictivement et qu’aucune autre condition ne peut être rajoutée par le législateur national.

A lire également :

Droit de l'Internet : dépôt pour la première fois en France d'une plainte contre Facebook

Google suggest et le droit à l'oubli : comment sauvegarder son e-réputation

Google adwords et risque de contrefaçon

La définition de l'intermédiaire technique d'un site Internet