Trois arrêts de la CJUE de début décembre 2023. Communiqué de presse.
C-634/21 : si elle est utilisée de manière déterminante, une note d'évaluation en vue d'un crédit est une décision automatisée par profilage qui produit des effets (paragraphe 47 et suivants).
Banques et agences de notation se renvoyaient la balle, la CjUE a tranché : c'est l'agence qui prend la décision, elle n'effectue pas un acte préparatoire, sinon risque de contournement du RGPD (paragraphes 61 et 62).
Une décision automatisée est interdite sauf si elle est prévue par la loi (dans le cas d'espèce, le tribunal allemand a un doute sur la conformité de la loi allemande au droit de l'UE) ou qu'elle est nécessaire à l'exécution d'un contrat (dans le cas présent, la note n'empêche pas l'exécution du contrat, elle est une mesure additionnelle liée à de la gestion de risque, donc plouf) ou si le client y consent (son consentement doit être libre, donc un refus du traitement ne doit pas entraîner de conséquences négatives, donc on doit te prêter, donc la notation sert à rien).
Dans tous les cas, il faut prévoir des clauses de sauvegarde des droits, la possibilité de demander une intervention humaine et de contester la note, ainsi que fournir des réponses supplémentaire à une demande d'accès (logique sous-jacente, importance et conséquences de la décision, en gros).
Bref, ça complique le business, mais, contrairement à NOYB, je pense que ce n'est pas la fin des agences de notation de crédit…
C‑26/22 et C‑64/22 : sans surprise, une agence de notation ne peut pas conserver les données issues d'un registre public d'insolvabilité au-delà de la durée de conservation dudit registre.
Ces bases privées sont bâties sur l'intérêt légitime, et il appartient au tribunal allemand de renvoi de vérifier si elles y répondent (adéquates, nécessaires, proportionnées). D'un côté, les infos sont dispo dans le registre public, mais les agences les consolident, ce qui participe à la lutte contre la fraude & co. De l'autre, atteinte grave aux droits. Si le traitement est illicite, effacement des données, s'il est licite, alors droit d'opposition (le droit qui est jamais accordé par un RT qui trouve toujours un motif impérieux).
Il me semble que la France respecte déjà le reste de l'arrêt concernant les pouvoirs des APD et des tribunaux :
- Les décisions de la CNIL sur les réclamations qu'elle reçoit sont des décisions contraignantes sur le fond. Quand elle n'y répond pas, une décision implicite de rejet née après 3 mois. Dans ce cas, comme pour toutes les autres demandes à une administration (permis de conduire, demande de communication de documents, etc.), il sera considéré que la CNIL a traité la réclamation et que la décision est une "vraie" décision. Le silence signifie « j'ai traité, je rejette », pas « j'ai pas eu le temps de traiter » ou autre. Donc, pour moi, l'article 57.1.f du RGPD est satisfait ;
- Le Conseil d'État contrôle les décisions de la CNIL sur le fond (le « contrôle juridictionnel entier » demandé par la CJUE). Il juge à nouveau la réclamation : y-a-t-il eu manquement au RGPD ? Est-ce grave ? En quoi le requérant est-il concerné ? La CNIL a-t-elle insuffisamment motivé sa décision ? A-t-elle bien apprécié la situation ? A-t-elle agit à la hauteur de la gravité du manquement ? Le Conseil d'État vérifie déjà si la CNIL a commis une erreur d'appréciation dans l'usage de son large pouvoir d'appréciation, comme la CJUE le demande aux paragraphes 68 et 69 de son arrêt. Ainsi, contrairement au cas jugé par le CJUE, le Conseil d'État ne se contente pas de vérifier que la CNIL a traité la réclamation et a informé le requérant ;
- Dans son article, NOYB évoque « France any right of those affected to participate in the procedure concerning their own rights was denied ». Je ne vois pas le rapport. L'arrêt CJUE ne cause pas de l'article 77 du RGPD (procédure devant une APD), seulement du 78 (recours juridictionnel). En France, l'administration qui ne laisse pas participer à sa prise de décision, c'est la base (ex. au pif : la CADA) ;
- Cet arrêt ne répond pas à la question de savoir si chaque réclamation ouvre systématiquement droit à une enquête. Dans deux paragraphes séparés (56 et 57) : une APD « est tenue […] de traiter les réclamations […] et d’en examiner l’objet dans la mesure du nécessaire ; elle a, pour ce faire, d'importants pouvoirs d'enquête. Si une APD constate, par son enquête, une violation du RGPD, elle est tenue de réagir de manière appropriée afin de remédier à la violation (rappel à l'ordre, injonction, amende, etc.). Ressources intéressantes : le tribunal de Luxembourg et l'APD belge considèrent qu'il n'y a pas enquête systématique (« Commentators recognise that due to the limited resources afforded to DPAs, DPAs often need to prioritise the complaints brought to them. [ l'APD belge ] contends that "the need for effectiveness and accountability justifies the conclusion that strategic approaches are not just optional for DPAs but required by the GDPR." »). Une Cour allemande considère qu'il y a.
Point intéressant de l'arrêt : « L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 109). ».