Données personnelles protégées également dans le contexte professionnel – CJUE C-710/23
Par son arrêt du 3 avril 2025, la Cour de justice de l’Union européenne a renforcé la protection des données dans le contexte professionnel (affaire C-710/23). La CJUE a déclaré que les données personnelles des représentants de l’entreprise présentes dans le cadre de l’activité professionnelle bénéficient également d’une protection complète des données.
Le droit à l’autodétermination informationnelle s’applique en principe. Cela vaut non seulement pour le domaine privé, mais aussi pour le cadre professionnel. La CJUE a précisé que les données personnelles des dirigeants et autres représentants d’une entreprise sont couvertes par le Règlement général sur la protection des données (RGPD). Pour les entreprises et autorités, cela implique des exigences accrues en matière de protection des données, selon le cabinet d’avocats spécialisé en droit des affaires MTR Legal, qui conseille également en droit de la protection des données.
Données personnelles anonymisées
Dans la procédure à l’origine de l’affaire devant la CJUE, un litige issu de la République tchèque était en cause. Un citoyen demandait l’accès aux contrats relatifs à l’achat de tests COVID-19 ainsi qu’aux certificats correspondants. Les documents contenaient notamment les noms, signatures et coordonnées professionnelles des personnes représentant l’autorité. Cette dernière a refusé la communication et noirci les noms, signatures et fonctions des documents au motif qu’il s’agissait de données personnelles bénéficiant d’une protection prioritaire.
Le cas est finalement parvenu devant la CJUE, chargée de déterminer si ces mentions « professionnelles » constituent effectivement des données personnelles et si les autorités peuvent être tenues, en vertu d’une réglementation nationale, d’entendre les personnes concernées avant toute divulgation, même si le RGPD ne l’impose pas explicitement.
Champ d’application large du Règlement général sur la protection des données (RGPD)
La CJUE a d’abord clairement établi que les noms, signatures et coordonnées professionnelles des personnes physiques agissant pour le compte de personnes morales constituent sans aucun doute des données à caractère personnel au sens de l’article 4, n° 1, du RGPD. Le champ d’application du RGPD est délibérément étendu et couvre toute information se rapportant à une personne physique identifiée ou identifiable. Le fait que ces données soient utilisées dans un contexte professionnel n’y change rien, selon les juges de Luxembourg.
Quiconque est désigné comme ayant pouvoir de représentation dans des contrats ou documents officiels est identifiable et donc protégé, a poursuivi la CJUE. La divulgation de ces données à des tiers constitue une forme de traitement au sens de l’article 4, n° 2, du RGPD, plus précisément une « divulgation par communication ». Par conséquent, toute transmission nécessite une base légale en vertu de l’article 6 du RGPD.
Sécurité et protection des données
Dans un monde professionnel de plus en plus numérisé, la sécurité des données dans le cadre professionnel prend une importance grandissante. Le Règlement général sur la protection des données (RGPD) de l’Union européenne et la loi fédérale sur la protection des données (BDSG) constituent le fondement central de la protection des données personnelles en Allemagne et dans tous les États membres de l’UE. Les entreprises et institutions sont tenues d’exercer la plus grande diligence dans le traitement des données personnelles et de mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données.
Parmi les mesures de protection les plus importantes figurent le chiffrement des courriels, l’utilisation contrôlée des cookies sur les sites web ainsi que la protection contre tout accès non autorisé par des solutions modernes de sécurité informatique. Le respect de ces exigences n’est pas seulement une obligation légale mais constitue également un facteur clé de confiance pour les clients, partenaires commerciaux et employés. La vie privée et la liberté d’information des personnes concernées restent au cœur de la protection des données.
En Allemagne, la surveillance du respect des lois sur la protection des données incombe au Commissaire fédéral à la protection des données ainsi qu’aux délégués à la protection des données des Länder. Ils conseillent les entreprises et les organismes publics, contrôlent l’application des règles et peuvent infliger des amendes en cas de violations. Au niveau européen, la Commission européenne veille à l’application uniforme du RGPD dans tous les États membres. La Cour de justice de l’Union européenne est compétente pour l’interprétation du droit de la protection des données et garantit par ses décisions la sécurité juridique et des normes homogènes dans l’ensemble de l’UE.
Les personnes concernées disposent de droits étendus en vertu du RGPD : elles peuvent obtenir des informations sur le traitement de leurs données personnelles, demander leur rectification ou leur suppression et saisir les autorités de contrôle compétentes en cas de violation du droit à la protection des données. Les tribunaux et la Cour de justice de l’Union européenne veillent à l’application effective de ces droits et à la mise en œuvre des principes de protection des données dans la pratique.
La mise en œuvre rigoureuse de la sécurité des données et de la protection des données constitue pour les entreprises et institutions non seulement une obligation légale, mais aussi une contribution importante à la protection de la vie privée et au renforcement de la confiance dans l’économie numérique de l’Union européenne. Le respect du RGPD et de la loi fédérale sur la protection des données est donc indispensable pour tous les acteurs dans le cadre professionnel.
Droit à l’information et protection des données
Lors de la deuxième étape, la CJUE s’est penchée sur la question de savoir comment concilier cette protection des données avec le droit du public à l’accès aux documents officiels. L’article 86 du RGPD ouvre explicitement aux États membres des marges de manœuvre pour concilier le droit fondamental d’accès à l’information avec la protection des données à caractère personnel. Dans ce contexte, la CJUE a clarifié que les législateurs nationaux ou les juridictions peuvent prévoir que les autorités doivent informer et consulter les personnes concernées avant de divulguer leurs données. De telles obligations procédurales supplémentaires sont compatibles avec le RGPD, pourvu qu’elles soient proportionnées et qu’elles ne compliquent pas excessivement le droit d’accès aux documents.
Cet arrêt a des conséquences majeures pour la pratique de la protection des données dans d’autres États membres de l’UE. Il souligne d’abord que les informations professionnelles telles que les noms, signatures et coordonnées professionnelles sont pleinement soumises à la protection des données et doivent être protégées en conséquence. Les entreprises ou autorités ne peuvent pas prétendre que ces données constituent des « informations d’entreprise neutres ». Tout traitement, qu’il s’agisse de stockage, de publication ou de communication, doit reposer sur une base juridique solide. Par exemple, il peut exister une obligation légale de publication, comme dans les mentions légales ou au registre du commerce. En l’absence d’obligation légale, il convient d’évaluer soigneusement, dans le cadre d’un équilibre des intérêts, s’il existe un intérêt légitime à la publication.
Compatibilité entre transparence et protection des données
Les autorités et les entreprises devraient examiner si la publication des données est nécessaire ou si une version anonymisée, par exemple par occultation des données, suffit à remplir l’objectif d’accès à l’information.
L’arrêt renforce la protection des données également dans le contexte professionnel, sans restreindre outre mesure la liberté d’information. Les autorités ou entreprises ont pour tâche de justifier chaque divulgation de données personnelles, de peser soigneusement les intérêts en présence et de documenter cette démarche. Transparence et protection des données doivent être conciliées par des procédures structurées.
MTR Legal Rechtsanwälte conseille de manière complète en matière de protection des données.
N’hésitez pas à nous contacter !
