Parmi les six conditions alternatives sous lesquelles l’article 17 du Règlement Général sur la Protection des Données (GDPR) reconnaît un droit à l’effacement (“droit à l’oubli”) au bénéfice de la personne concernée (droit que nous analysions en détails dans un précédent article), figure la condition suivante : “les données à caractère personnel ont fait l’objet d’un traitement illicite“. La formule, pour le moins laconique, invite naturellement à s’interroger : qu’est-ce donc qu’un “traitement illicite” ?
Deux hypothèses principales semblent pouvoir être envisagées – l’une stricte, l’autre large. Dans une acception stricte, un traitement illicite serait un traitement dépourvu de “condition de licéité” au sens de l’article 6 du GDPR : il s’agirait ainsi d’un traitement dont le responsable ne peut justifier d’aucune des six bases légales parmi la liste (limitative) prévue par cet article. Cette lecture a le mérite de la cohérence interne du texte (de même, dans la version anglaise du texte, la notion de données à caractère personnel “unlawfully processed” de l’article 17 se réfère assez intuivement à la “lawfulness of processing” de l’article 6).
Néanmoins, force est de constater, à lecture plus précise de la formule introductive de cet article 6 (“le traitement n’est licite que si, et dans la mesure où […]”), que l’existence d’une base légale n’est pas une condition suffisante, mais seulement nécessaire, de la licéité du traitement : il s’agit en effet, dans cette formule, d’un “seulement si”, et non pas d’un “si et seulement si” (dont cette simple évocation ravira à coup sûr les nostalgiques des cours de mathématiques au lycée). Pour le dire autrement : il y aurait, dans une acception plus large de la notion, d’autres conditions qui, si elles ne sont pas satisfaites, entraînerait l’illicéité du traitement.
Telle semble être la position de la CJUE, exprimée dans l’arrêt fondateur du “droit à l’oubli” pré-GDPR, Costeja c/ Google Spain (CJUE, 13 mai 2014, C-131/12), selon laquelle “même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé“. La Cour semble ainsi considérer que l’exactitude des données, leur pertinence et leur nécessité au regard de la finalité poursuivie, sont autant de conditions nécessaires de la licéité de leur traitement, pouvant le cas échéant justifier une demande de droit à l’oubli. Sauf à envisager que l’entrée en jeu du GDPR puisse amener la CJUE à restreindre le champ d’application de ce droit, et partant à réduire la protection accordée aux personnes concernées, l’acception large paraît donc devoir prévaloir.
Et pourtant… A l’analyse des autres cas reconnus par l’article 17 du GDPR pour l’exercice du droit à l’effacement, la plupart de ces situations apparaissent déjà couvertes spécifiquement : ainsi des données devenues non nécessaires à la finalité poursuivie (article 17.1.a) ou de l’absence de base légale disponible à la suite d’un retrait du consentement (article 17.1.b). A quel saint donc se vouer ? Dans quels cas concrets ce fondement du “traitement illicite” doit-il être invoqué ? Une petite série de lignes directrices du CEPD (feu le G29) ne serait à l’évidence pas de refus…
