À l’avenir, l’Office de protection des données (DSS) enverra régulièrement de courts résumés des décisions de justice pertinentes dans le cadre de sa newsletter. Cela commence par une décision de la Cour de justice de l’État du Liechtenstein (StGH) et quatre de la Cour de justice de l’Union européenne (CJCE), qui ont récemment clarifié davantage l’interprétation du règlement général européen sur la protection des données (RGPD) et de la loi sur la protection des données du Liechtenstein ( DSG).

• Arrêt StGH 2024/056 du 2 septembre 2024 : Révocation ou licenciement d’un délégué à la protection des données
  L’article 38, paragraphe 3 du RGPD, et l’article 7, paragraphe 3, du DSG protègent les délégués à la protection des données de l’entreprise contre le licenciement en raison de l’accomplissement de leurs tâches. . Cette protection ne conduit cependant pas à une « pragmatisation ». Il faut faire une distinction entre licenciement et licenciement. Une résiliation ordinaire dans le respect du délai de préavis est toujours autorisée si la résiliation est incontestablement indépendante de l’exercice de la fonction de délégué à la protection des données et ne constitue donc pas une résiliation dite par vengeance.
   
• Arrêt de la CJCE du 4 octobre 2024 – C-21/23 : Données de santé lors de la commande de médicaments en ligne ; RGPD contre droit de la concurrence
  La CJCE est parvenue à la conclusion que lors de la commande de médicaments destinés exclusivement à la pharmacie via une plateforme en ligne, les données client fournies (telles que le nom, l’adresse de livraison et les informations nécessaires à l’individualisation des médicaments) constituent des données de santé. Le traitement de ces données pourra révéler des informations sur l’état de santé d’une personne physique, que ces informations concernent l’acheteur ou une autre personne pour laquelle cette commande est passée. Le traitement des données de santé nécessitant un niveau de protection élevé, il nécessite un consentement explicite et ciblé .
  
  En ce qui concerne le droit de la concurrence, le tribunal a jugé que les États membres peuvent donner aux concurrents d’un contrevenant présumé au RGPD la possibilité de contester cette violation devant les tribunaux en tant que pratique commerciale déloyale interdite et ainsi contribuer également à l’application du RGPD. . Le RGPD n’empêche donc pas la poursuite des violations de la protection des données en vertu du droit de la concurrence.
   
• Arrêt de la CJCE du 12 septembre 2024 – Affaires C-17/22 et C-18/22 : Interprétation étroite de l’intérêt légitime – nécessité absolue ; La jurisprudence en tant qu’obligation légale
  Le traitement ne peut être fondé sur un intérêt légitime que s’il est « absolument nécessaire » pour réaliser l’intérêt légitime et, compte tenu de toutes les circonstances pertinentes, les intérêts ou les droits et libertés fondamentaux des personnes concernées ne l’emportent pas cet intérêt légitime. Le tribunal a jugé en l’espèce qu’il serait possible pour un actionnaire d’un fonds d’investissement qui souhaiterait recevoir des informations sur un autre actionnaire d’adresser une demande de contact via le fonds à l’actionnaire en question. Cette personne pourrait alors décider librement si elle souhaite ou non contacter l’actionnaire demandeur. La divulgation non autorisée des coordonnées de tous les actionnaires par le fonds n’était donc pas absolument nécessaire pour réaliser l’intérêt légitime.
  
  En outre, la CJCE a déclaré qu’une obligation légale au sens de base juridique pour le traitement des données peut également découler de la jurisprudence d’un État membre (article 6, paragraphe 1, point c) du RGPD) , à condition que cette jurisprudence soit claire et précise dans son application est prévisible pour les soumis à la loi et elle poursuit un objectif d’intérêt général auquel elle est proportionnée.
   
• Arrêt de la CJCE du 4 octobre 2024 – C-621/22 : Interprétation étroite de l’intérêt légitime – remède le plus doux
  La CJCE a de nouveau fait référence à sa décision dans l’affaire C-252/21 (Meta Platforms Inc. et autres contre Bundeskartellamt). que la base juridique est l’article 6, paragraphe 1, de la lettre. b à f RGPD doivent être interprétés strictement. Cette nécessité ne peut être affirmée que s’il n’existe « pas de moyens plus doux » qui soient également adaptés et qui interfèrent moins avec les droits et libertés fondamentaux des personnes concernées. Cela s’applique également à l’intérêt légitime. Le tribunal a donc estimé dans cette affaire qu’il aurait été possible pour une association sportive d’informer au préalable ses membres et de leur demander si leurs données pouvaient être transmises à des tiers à des fins publicitaires ou marketing. En tant qu’organisme responsable, il est donc toujours nécessaire de vérifier si les intérêts légitimes peuvent être atteints par des moyens plus doux et moins intrusifs.
   
• Arrêt de la CJUE du 4 octobre 2024 – C-446/21 : Principes du traitement des données ; Utilisation de données personnelles publiées par la personne concernée elle-même
  La CJCE est parvenue à la conclusion que même si les données personnelles que l’exploitant d’une plateforme en ligne reçoit d’une personne concernée ou de tiers sont traitées par ailleurs licitement, ce traitement n’est pas illimité en termes de la quantité de données et leur durée peuvent être , mais trouvent leurs limites dans les principes de l’article 5 du RGPD en matière de finalité, de minimisation des données et de limitation du stockage. D’une part, ces principes empêchent la collecte illimitée de données, y compris des catégories particulières de données personnelles, si celles-ci ne sont pas nécessaires pour atteindre l’objectif, et d’autre part, le stockage des données pour une durée illimitée, qui n’est pas nécessaire pour atteindre l’objectif visé. le but. Les deux constitueraient une ingérence disproportionnée dans les droits et libertés d’une personne concernée. Toutefois, ce qu’est exactement une durée de conservation appropriée pour un objectif spécifique (en l’occurrence le placement de publicité personnalisée) doit être clarifiée au cas par cas et, si nécessaire, par les tribunaux nationaux.
  
  En ce qui concerne la déclaration publique du plaignant sur son orientation sexuelle dans le cadre d’une table ronde, la CJCE estime que la publicité évidente de la déclaration conformément à l’art. Le RGPD conduit fondamentalement à la licéité du traitement de ces données . Toutefois, cette disposition constituant une exception à une interdiction, elle doit être interprétée de manière restrictive . Une déclaration manifestement publique n’autorise pas l’exploitant d’une plateforme en ligne à traiter d’autres données personnelles liées à l’orientation sexuelle de cette personne (et qu’il peut éventuellement utiliser à l’aide de cookies, de pixels ou de plug-ins sociaux provenant d’applications et de sites Web tiers). ) afin d’afficher des publicités personnalisées basées sur ces informations. La CJCE a également précisé qu’une déclaration manifestement publique ne constitue pas un consentement exprès au sens de l’article 9, paragraphe 2, de la lettre. un RGPD mène . Il a également rappelé que l’interdiction fondamentale du traitement de catégories particulières de données personnelles en vertu de l’article 9, paragraphe 1, du RGPD s’applique indépendamment du fait que les informations soient exactes ou non et que la personne responsable ait même eu l’intention de collecter ces catégories de données.

Remarque : Vous trouverez une compilation plus complète de la jurisprudence pertinente dans le domaine de la protection des données dans la jurisprudence  de l’Office de protection des données. Celui-ci devrait apparaître sous une forme mise à jour début 2025.

https://www.datenschutzstelle.li/aktuelles/relevante-rechtsprechung-update-1