Le traitement de catégories particulières de données est interdit, sauf exceptions. Définies à l’article 9 du règlement général sur la protection des données (RGPD), elles consistent en les données qui « révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi [que les] données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ».
Si cette définition peut au premier abord sembler clairement délimiter le champ de l’interdiction, des interrogations subsistent sur son application.
C’est ainsi que plusieurs autorités de contrôle se sont interrogées sur la question de l’interdiction du traitement de données permettant, par raisonnement ou déduction, de parvenir à la connaissance de catégories particulières de données à caractère personnel sur les individus.
Tel a été le cas concernant Grindr, application de rencontre destiné à la communauté LGBT. Dans le cadre d’une plainte, l’autorité espagnole de protection des données avait établi le 17 janvier 2022 que «Grindr ne traite aucune catégorie particulière de données en violation de l’article 9 du RGPD, car elle ne collecte pas directement d’information relative à l’orientation sexuelle de ses utilisateurs ». Son homologue norvégienne avait pourtant deux ans auparavant sanctionné l’éditeur de l’application pour traitement illicite, estimant que des données « révélant qu’une personne est un utilisateur de Grindr » suffisent à révéler son orientation sexuelle.
L’enjeu est donc le suivant : le traitement de données permettant, par déduction, d’établir l’orientation sexuelle d’une personne constitue-il un traitement de données sensibles au regard de l’article 9 du RGPD ?
Par un arrêt du 1er aout 2022, la Cour de justice de l’Union européenne (CJUE) a clarifié sa position concernant le traitement de données à caractère personnel susceptibles de divulguer indirectement des informations relevant de catégories particulières de données (CJUE, 1er août 2022, Aff. C‑184/20).
Bref rappel des faits
Le gouvernement lituanien avait condamné un citoyen lituanien, dirigeant d’un établissement percevant des fonds publics dans le domaine de la protection de l’environnement, pour la violation de son obligation de réaliser une déclaration d’intérêts privés, dans le cadre de la loi lituanienne anti-corruption.
Le 6 mars 2018, ce citoyen avait introduit un recours en annulation de cette décision, et motivé notamment son recours en arguant que la publication d’une telle déclaration porterait atteinte à son droit au respect de sa vie privée et à celui de son entourage ; notamment, la publication du nom de son conjoint constituerait une révélation publique de son orientation sexuelle.
Dans ces conditions, les juridictions lituaniennes avaient sursis à statuer et saisi la CJUE afin de lui poser notamment la question préjudicielle suivante :
L’interdiction de traitement des catégories de données listées à l’article 9 du RGPD signifie-elle que le droit national ne peut exiger, dans le cadre des déclarations d’intérêts privés, la divulgation et la publication, sur le site web de l’autorité publique chargée de collecter et de contrôler la teneur des déclarations d’intérêts privés, de données qui permettent de connaître les opinions politiques, l’appartenance syndicale ou l’orientation sexuelle ou d’autres informations de nature personnelle d’une personne ?
Décision de la CJUE
Pour répondre à la question, la Cour s’attache à interpréter l’article 9 du RGPD et à déterminer si des données pouvant révéler par une opération intellectuelle de rapprochement ou de déduction, l’orientation sexuelle d’une personne physique relèvent des catégories particulières de données à caractère personnel.
A cet égard, la Cour souligne d’abord que selon la formulation utilisée dans l’article 9 précité, sont interdits les traitements de données qui « révèlent » des données au responsable du traitement.
La Cour met en parallèle l’usage de ce terme avec sa présence au sein de l’article 4 du RGPD, qui qualifie de données concernant la santé les prestations de soins qui « révèlent » des informations sur l’état de santé des personnes, et le considérant 35 du RGPD, « qui énonce que les données à caractère personnel concernant la santé devraient comprendre l’ensemble des données se rapportant à l’état de santé d’une personne concernée qui « révèlent » des informations sur l’état de santé physique ou mentale passé, présent ou futur de la personne concernée ».
Elle en déduit que l’article 9 du RGPD est applicable en cas de possibilité d’une interprétation ou d’une déduction des données à caractère personnel collectées pour parvenir à une information entrant dans le champ des catégories particulières de données, de la même manière que l’article 4 concerne explicitement les informations sur les soins permettant de déduire un état de santé. La Cour note par ailleurs qu’une interprétation large de la notion de catégories particulières de données est conforme avec l’objectif du RGPD, et que le traitement de ces données en particulier constitue une ingérence particulièrement grave aux droits de la personne concernée.
En conséquence, la Cour s’oppose à toute interprétation restrictive des termes de l’article 9 du RGPD, et indique que le traitement de données à caractère personnel qui ne dévoilerait que de manière indirecte des informations dites sensibles sur les individus ne saurait se soustraire au régime d’interdiction de principe établi par le RGPD.
Dès lors, la publication sur le site des autorités lituaniennes du nom du conjoint d’une personne physique, en cela qu’elle révèle indirectement son orientation sexuelle, constitue bien un traitement portant sur des catégories particulières de données au sens de l’article 9 du RGPD.
Points de vigilance en cas de traitement de catégories particulières de données
L’impact de cet arrêt du 1er août 2022 pourrait se révéler important.
En effet, il étend largement le champ de la définition des catégories particulières de données, et par là l’application de l’interdiction de leur traitement.
Cet arrêt invite donc les responsables du traitement à s’interroger sur les possibilités de déduire des données qu’ils traitent une information relevant du champ d’application de l’article 9, paragraphe 1 du RGPD, quand bien même ce ne soit pas leur intention première.
L’attention des responsables de traitements est donc attirée sur les données qu’ils choisissent de collecter, de traiter ou de recouper.