CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PRIIT PIKAMÄE
présentées le 31 mars 2022 (1)
Affaire C‑77/21
Digi Távközlési és Szolgáltató Kft.
contre
Nemzeti Adatvédelmi és Információszabadság Hatóság
[demande de décision préjudicielle formée par le Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous b) et e) – Principe de limitation des finalités – Principe de limitation de la conservation – Données à caractère personnel de clients collectées et stockées licitement – Création d’une autre base de données interne spécifique à la suite d’une défaillance technique – Vérification a posteriori des finalités du traitement – Double finalité – Absence d’identité des finalités du traitement avec celles de la collecte des données – Compatibilité du traitement avec les finalités de la collecte – Article 6, paragraphe 4 – Absence de suppression de la base de données après correction de la défaillance technique – Réalisation des finalités du traitement »
1. Dans quelles conditions un fournisseur d’accès à Internet et à la télévision peut-il conserver les données à caractère personnel de ses clients, collectées et déjà stockées licitement, sur un support interne supplémentaire, sans leur consentement exprès mais pour pallier une défaillance technique ?
2. Telle est l’une des questions soulevées par la présente affaire qui permettra à la Cour de compléter sa jurisprudence de plus en plus abondante concernant le règlement (UE) 2016/679 (2), s’agissant plus particulièrement des principes de limitation des finalités et de la conservation énoncés à l’article 5, paragraphe 1, sous b) et e), de cet acte.
I. Le cadre juridique
3. Sont pertinents dans le cadre de la présente affaire les articles 4 à 6, 13 et 32 du RGPD.
II. Le litige au principal et les questions préjudicielles
4. Digi Távközlési és Szolgáltató Kft. (ci-après « Digi ») est l’un des principaux fournisseurs de services Internet et de télévision en Hongrie.
5. En avril 2018, à la suite d’une défaillance technique ayant affecté le fonctionnement d’un serveur, Digi a créé une base de données dite « de test », dans laquelle elle a copié les données à caractère personnel d’environ un tiers de ses clients particuliers.
6. Le 23 septembre 2019, Digi a eu connaissance du fait qu’un « pirate éthique » avait eu accès aux données personnelles d’environ 322 000 personnes. L’attaque a été signalée par écrit par le pirate lui-même dans un courriel adressé à cette entreprise le 21 septembre 2019, en extrayant, à titre de preuve, une ligne de la base de données de test. Digi a corrigé la faille et conclu un accord de confidentialité avec cette personne, à laquelle elle a offert une récompense.
7. Après avoir supprimé la base de données de test, Digi a notifié la violation de données à caractère personnel à la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorité nationale de la protection des données et de la liberté de l’information, ci-après l’« Autorité »), le 25 septembre 2019, à la suite de quoi cette dernière a ouvert une enquête.
8. Par une décision du 18 mai 2020, l’Autorité a notamment conclu, d’une part, que Digi avait enfreint l’article 5, paragraphe 1, sous b) et e), du RGPD, en ce que, après que les tests nécessaires ont été effectués et les problèmes corrigés, elle n’a pas supprimé la base de données de test, de sorte qu’un grand nombre de données à caractère personnel conservées dans cette base de données de test l’avait été sans aucune finalité pendant près de 18 mois dans un fichier susceptible de permettre l’identification des personnes concernées, l’absence de suppression de cette base de données ayant permis la survenance d’une violation de données à caractère personnel. D’autre part, l’Autorité a considéré que Digi avait enfreint l’article 32, paragraphes 1 et 2, du RGPD. Dans ces conditions, l’Autorité a imposé à Digi une amende de 100 000 000 forints hongrois (HUF) (environ 270 000 euros).
9. Digi a contesté la légalité de cette décision devant la juridiction de renvoi.
10. Cette dernière relève que les données à caractère personnel copiées par Digi dans la base de données de test ont été collectées aux fins de la conclusion de contrats d’abonnement et que la licéité de la collecte des données n’a pas été remise en cause par l’Autorité. Elle voudrait toutefois savoir si la finalité de la collecte et du traitement des données est modifiée du fait que les données collectées pour une finalité déterminée ont été copiées dans une autre base de données. Elle ajoute qu’il lui faut également déterminer si la création d’une base de données de test et la poursuite du traitement des données des clients de cette manière sont compatibles avec la finalité de la collecte de ces données. À cet égard, le principe de limitation des finalités ne donnerait pas d’indications claires quant à la question de savoir dans quels systèmes internes le responsable du traitement a le droit de traiter les données collectées de manière licite ou s’il peut copier ces données dans une base de données de test sans modifier la finalité de la collecte de données.
11. Dans l’hypothèse où la création de la base de données de test serait incompatible avec la finalité de la collecte, la juridiction de renvoi se demande également si, dès lors que la finalité du traitement des données clients dans une autre base de données n’est pas la correction d’erreurs mais la conclusion des contrats, la durée de la conservation nécessaire doit être alignée sur la durée nécessaire à la correction des erreurs ou plutôt sur la durée nécessaire à l’exécution des obligations contractuelles.
12. Dans ces conditions, la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Faut-il interpréter la notion de “limitation des finalités”, définie à l’article 5, paragraphe 1, sous b), du [RGPD] [...] en ce sens qu’est également conforme à cette notion le fait pour le responsable du traitement de conserver en parallèle, dans une autre base de données, des données à caractère personnel qui ont, par ailleurs, été collectées pour des finalités déterminées et légitimes, et conservées d’une manière compatible avec ces finalités, ou au contraire en ce sens que le fait de conserver les données dans une base de données parallèle n’est plus compatible avec les finalités légitimes pour lesquelles les données en question ont été collectées ?
2) S’il faut répondre à la première question en ce sens que, en soi, la conservation parallèle n’est pas compatible avec le principe de “limitation des finalités”, [celle-ci] est-elle alors compatible avec le principe de “limitation de la conservation” énoncé à l’article 5, paragraphe 1, sous e), du [RGPD], si le responsable du traitement conserve en parallèle dans une autre base de données des données à caractère personnel par ailleurs collectées et conservées pour une finalité légitime limitée ? »
III. La procédure devant la Cour
13. Les parties demanderesse et défenderesse au principal, les gouvernements hongrois, tchèque et portugais ainsi que la Commission européenne ont déposé des observations écrites. Lors de l’audience qui s’est tenue le 17 janvier 2022, ont également été entendues en leurs observations orales les parties demanderesse et défenderesse au principal ainsi que le gouvernement hongrois et la Commission.
IV. Analyse
A. Sur la recevabilité
14. L’Autorité ainsi que le gouvernement hongrois ont exprimé des doutes sur la recevabilité de la demande de décision préjudicielle, au motif que les questions posées ne refléteraient pas les faits de l’affaire au principal et ne seraient pas directement pertinentes pour la solution de celle-ci.
15. Il résulte de la jurisprudence constante de la Cour qu’il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer. Il s’ensuit que les questions posées par les juridictions nationales bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile auxdites questions. En l’occurrence, la demande de décision préjudicielle contient des éléments de fait et de droit suffisants pour comprendre la portée des questions préjudicielles. En outre et surtout, aucun élément du dossier dont dispose la Cour ne permet de considérer que l’interprétation sollicitée du droit de l’Union n’aurait pas de rapport avec la réalité ou l’objet du litige au principal ou serait de nature hypothétique (3).
16. Il convient, à cet égard, de relever que la juridiction de renvoi est saisie d’un recours en annulation d’une décision sanctionnant Digi, en sa qualité de responsable du traitement, en raison d’une violation alléguée des principes de limitation des finalités et de la conservation visés à l’article 5, paragraphe 1, sous b) et e), du RGPD, sur lequel porte la demande d’interprétation de cette juridiction. La demande de décision préjudicielle doit, dès lors, être considérée comme recevable.
B. Sur le cadre juridique d’analyse
17. Force est de constater que la demande de décision préjudicielle porte exclusivement sur l’interprétation de l’article 5 du RGPD dans le cadre d’un litige au principal portant sur la licéité d’un traitement de données à caractère personnel effectué par Digi, l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, qui constitue, dès lors, un opérateur offrant un accès à des services de communication au public en ligne.
18. Or, il convient de relever que l’article 1er de la directive 2002/58/CE (4) dispose, à son paragraphe 1, que cette directive prévoit l’harmonisation des dispositions nationales nécessaires pour, notamment, assurer un niveau équivalent de protection des droits et des libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques. En outre, l’article 3 de la directive 2002/58 énonce que cette directive s’applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux de communications publics dans l’Union, y compris les réseaux de communications publics qui prennent en charge les dispositifs de collecte de données et d’identification. Partant, ladite directive doit être regardée comme régissant les activités des fournisseurs de tels services (5).
19. Conformément à son article 1er, paragraphe 2, la directive 2002/58 précise et complète la directive 95/46/CE (6) aux fins énoncées audit paragraphe 1, étant observé que, en vertu de l’article 94, paragraphe 2, du RGPD, les références faites, dans la directive 2002/58, à la directive 95/46 s’entendent comme faites à ce règlement (7). Selon le considérant 10 de la directive 2002/58, dans le secteur des communications électroniques, la directive 95/46 est applicable notamment à tous les aspects de la protection des droits et libertés fondamentaux qui n’entrent pas expressément dans le cadre de la directive 2002/58, y compris les obligations auxquelles est soumis le responsable du traitement des données à caractère personnel et les droits individuels (8).
20. Il ressort de la demande de décision préjudicielle que le litige au principal ne concerne pas l’utilisation des services de communications électroniques par les abonnés de Digi et, par là-même, la protection des communications ainsi effectuées et des données relatives au trafic y afférentes régie par la directive 2002/58, mais s’inscrit dans le cadre du fonctionnement interne de cette entreprise. Il est constant que Digi a créé, en 2018 et à la suite d’une défaillance technique du serveur qui s’est traduite par une inaccessibilité de la base de données originelle de ses abonnés, un fichier appelé « test » dans lequel elle a copié les données à caractère personnel d’une partie de ses clients (9). Une fois la correction apportée à ce dysfonctionnement par Digi, le stockage de données dans la base additionnelle s’est poursuivie jusqu’en septembre 2019, période à laquelle est survenu un piratage informatique ayant affecté cette base. L’activité ainsi développée par Digi présente le caractère d’un « traitement de données à caractère personnel », pour lequel cette entreprise est le « responsable », au sens des définitions fournies à l’article 4, paragraphes 2 et 7, du RGPD. De plus, c’est en cette qualité que Digi a été sanctionnée par l’Autorité pour avoir, à cette occasion, méconnu ses obligations résultant, notamment, de l’article 5, paragraphe 1, sous b) et e), du RGPD.
21. Il y a lieu, à cet égard, de rappeler que, sous réserve des dérogations admises au titre de l’article 23 du RGPD, tout traitement de données à caractère personnel doit respecter les principes les régissant ainsi que les droits de la personne concernée énoncés respectivement aux chapitres II et III de ce règlement. En particulier, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes énoncés à l’article 5 dudit règlement et, d’autre part, satisfaire aux conditions de licéité énumérées à l’article 6 de ce même règlement (10).
22. Aux termes de l’article 5 du RGPD, il incombe au responsable du traitement d’assurer que les données à caractère personnel sont « traitées de manière licite, loyale et transparente » [sous a)], qu’elles sont « collectées pour des finalités déterminées, explicites et légitimes, et ne [sont pas] traitées ultérieurement de manière incompatible avec ces finalités » [sous b)], qu’elles sont « adéquates, pertinentes et [non excessives] au regard des finalités pour lesquelles elles sont [collectées et pour lesquelles elles sont traitées ultérieurement] » [sous c)], qu’elles sont « exactes et, si nécessaire, [mises] à jour » [sous d)] et, enfin, qu’elles sont « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire [à la réalisation] des finalités pour lesquelles elles sont [collectées ou pour lesquelles elles sont traitées ultérieurement] » [sous e)], le traitement des données à des fins historiques, statistiques ou scientifiques faisant l’objet de dispositions spécifiques. Dans ce contexte, ce responsable doit prendre toutes les mesures raisonnables pour que les données qui ne répondent pas aux exigences de cette disposition soient effacées ou rectifiées (11).
C. Sur la portée de la demande de décision préjudicielle
23. La juridiction de renvoi souhaite obtenir de la Cour des indications quant à l’interprétation des principes de limitation des finalités et de limitation de la conservation consacrés, respectivement, à l’article 5, paragraphe 1, sous b) et e), du RGPD, ce qui s’est traduit par l’énoncé de deux questions préjudicielles distinctes relatives à ces dispositions. Reste que la seconde question, portant sur le principe de limitation de la conservation des données, n’est formulée qu’à titre conditionnel, dans l’hypothèse d’une d’incompatibilité du traitement en cause avec le principe de limitation des finalités.
24. Or, il importe de souligner que les exigences relatives au traitement des données à caractère personnel énoncées à l’article 5 du RGPD sont, à l’évidence, cumulatives et autonomes les unes par rapport aux autres (12). La problématique du respect du principe de limitation de la conservation est juridiquement indépendante de celle relative au principe de limitation des finalités. Dans la décision faisant l’objet de la procédure au principal, l’Autorité considère que le stockage des données dans un support additionnel interne est à l’origine de la méconnaissance des deux principes distincts susmentionnés.
25. Même si la juridiction de renvoi a formellement limité sa seconde question par son caractère conditionnel, cette circonstance ne fait pas obstacle à ce que la Cour lui fournisse tous les éléments d’interprétation qui peuvent être utiles au jugement de l’affaire au principal, en extrayant de l’ensemble des éléments fournis par cette juridiction, et notamment de la motivation de la décision de renvoi, les éléments du droit de l’Union qui appellent une interprétation, compte tenu de l’objet du litige (13).
D. Sur la licéité du traitement au regard des principes de limitation des finalités et de conservation
1. Considérations liminaires
26. Il me paraît nécessaire, à titre liminaire, d’analyser la portée respective des principes définis à l’article 5, paragraphe 1, sous b) et e), du RGPD, et ce en lien avec la notion de conservation employée dans la décision de renvoi et les écritures des parties intéressées pour décrire l’opération de traitement incriminée sous deux angles. Le premier concerne l’action même de conservation ou sauvegarde des données, en l’occurrence le stockage dans une base additionnelle interne d’une copie des données d’une partie des abonnés de Digi. Le second envisage la conservation dans le sens du maintien dans le temps de cette base de données. La question posée est alors celle de la durée du stockage des données. À cet égard, la problématique temporelle susmentionnée ne relève pas, selon moi, du principe de limitation des finalités, mais exclusivement du principe de limitation de la conservation.
27. Le principe de limitation des finalités, prévu à l’article 5, paragraphe 1, sous b), du RGPD, a une double composante : les données à caractère personnel doivent, d’une part, être collectées pour des finalités « déterminées, explicites et légitimes » et, d’autre part, ne pas être « traitées ultérieurement de manière incompatible » avec ces finalités. Ce principe a pour vocation de délimiter le plus clairement possible l’utilisation des données à caractère personnel en assurant un équilibre entre le respect des droits fondamentaux des personnes concernées en matière de vie privée et de protection des données et la reconnaissance d’une certaine flexibilité au profit du responsable du traitement dans la gestion de ces données, telle que requise par la vie numérique et ses aléas.
28. Dans sa seconde composante qui nous intéresse plus particulièrement en l’espèce, ledit principe vise à définir les limites dans lesquelles les données à caractère personnel collectées pour une finalité donnée peuvent être réutilisées. Conformément à l’article 5 paragraphe 1, sous b), du RGPD, tout traitement après collecte doit être considéré comme un « traitement ultérieur » et doit donc, sauf exception, répondre à l’exigence de compatibilité (14). Cette dernière traduit la nécessité d’un lien concret, logique et suffisamment étroit entre la finalité de la collecte des données et le traitement ultérieur de celles-ci. Autrement dit, ce traitement ne doit pas être déconnecté de la finalité originelle du recueil des données ou entrer en contradiction avec celle-ci, sa teneur doit être conciliable avec la raison d’être de la collecte, indépendamment de toute problématique temporelle.
29. Le principe de limitation des finalités ne constitue pas, à proprement parler, une expression du principe de proportionnalité, à la différence de celui de limitation de la conservation énoncé à l’article 5, paragraphe 1, sous e), du RGPD. Ainsi que la Cour l’a précisé, il découle des exigences prévues à cet article que même un traitement initialement licite de données peut devenir, avec le temps, incompatible avec ce règlement lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé (15).
30. Il s’agit donc, dans le cadre du principe de limitation de la conservation, de procéder à une appréciation du caractère proportionné du traitement par rapport à sa finalité, au regard de l’écoulement du temps. Contreviendra à ce principe la conservation des données pendant une durée excédant celle nécessaire, c’est-à-dire allant au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles ces données ont été conservées (16). Dans la mesure où les finalités de ce traitement sont atteintes, les données doivent être supprimées (17). Le principe de limitation de la conservation répond ainsi à la question de savoir quand le stockage des données sur un support supplémentaire interne de Digi ne se justifiait plus.
31. C’est à la lumière des considérations qui précèdent que j’examinerai la licéité du traitement en cause au regard des deux principes susmentionnés.
2. Sur le principe de limitation des finalités
32. La vérification du respect d’un tel principe, dans sa seconde composante, implique la détermination préalable de la ou des finalités de la collecte des données en cause. Il ressort du dossier soumis à la Cour que ces données ont été collectées par Digi aux fins de la conclusion et de l’exécution de contrats d’abonnements proposés en sa qualité de fournisseur d’accès à Internet et à la télévision, et que la licéité de ce premier traitement ne fait pas l’objet d’un débat entre les parties au principal. Il en va de même de l’incontournable opération de traitement subséquente consistant dans le stockage desdites données sur un support dédié que l’on qualifiera de base de données originelle (18). Dans ce contexte, la juridiction de renvoi voudrait, notamment, obtenir une réponse à la question de savoir si la finalité déterminée, explicite et légitime de la collecte des données est « modifiée » du fait que ces dernières ont été copiées dans une base de données s’ajoutant à un premier stockage non contesté entre les parties.
33. Selon la jurisprudence de la Cour, les règles de protection des données à caractère personnel qui sont contenues dans le RGPD doivent être respectées à l’égard de tout traitement de ces dernières tel que défini à l’article 2 de ce règlement (19). L’interrogation susmentionnée me paraît traduire une méconnaissance de l’exigence d’appréciation individuelle de toutes les opérations de traitement des données postérieures à leur collecte, telle qu’issue, en l’occurrence, de l’article 5 paragraphe 1, sous b), du RGPD.
34. En d’autres termes, chaque cas d’utilisation ultérieure de ces données doit être examiné aux fins d’en vérifier la finalité particulière et, le cas échéant, sa compatibilité avec celle de la collecte. La licéité de cette dernière et d’un premier stockage des données ne peut avoir, par une forme d’effet de contagion, d’incidence automatique sur le respect du principe de limitation des finalités par une autre activité de traitement ultérieur, indépendamment du fait que ce dernier porte sur les mêmes données. Ainsi que le fait valoir le gouvernement hongrois, il ne saurait être considéré que le responsable du traitement a la faculté de stocker les données à caractère personnel dans plusieurs fichiers et sans limitations, pourvu qu’il les ait initialement collectées et traitées de manière licite.
35. Il convient, dès lors, d’examiner la question de la compatibilité entre les finalités de la collecte des données et le traitement ultérieur de ces dernières, exigée à l’article 5, paragraphe 1, sous b), du RGPD. Toutefois, cette question ne se pose logiquement que dans l’hypothèse où ce traitement est effectué à des fins différentes de celles initialement spécifiées.
36. Ainsi, selon le considérant 50 de ce règlement, le traitement de données à caractère personnel « pour d’autres finalités » que celles pour lesquelles elles ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités de cette collecte. Le libellé de l’article 6, paragraphe 4, dudit règlement conforte également la conclusion susmentionnée. Cette disposition établit une liste non exhaustive de critères permettant, dans une configuration donnée, d’apprécier si le traitement « à une autre fin » est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées. Dès lors, la constatation d’une identité de finalité entre la collecte des données et celle de leur traitement ultérieur, telle qu’alléguée par Digi, rendrait dépourvue d’objet l’interrogation de compatibilité et permettrait de conclure à la licéité de ce traitement au regard du principe de limitation des finalités (20).
a) Sur les finalités du traitement
37. Il ressort du dossier soumis à la Cour, et plus particulièrement des déclarations de Digi que, à la suite d’une défaillance technique du serveur ayant conduit à une inaccessibilité de la base de données originelle, cette entreprise a opéré le stockage d’une copie des données d’une partie des abonnés dans une base additionnelle interne, dénommée base « de test », aux fins de remédier à l’incident technique et de garantir l’accès aux donnés conformément à l’obligation imposée au responsable du traitement par l’article 5, paragraphe 1, sous f), et détaillée à l’article 32 du RGPD (21). Digi affirme que cette opération de traitement contribuait aussi et ainsi à la réalisation de la finalité de la collecte des données, à savoir la fourniture du service contractuellement prévu. Dans ces circonstances, le stockage incriminé ne serait pas lié à une finalité distincte, ce qui exclurait toute violation de l’article 5, paragraphe 1, sous b), de ce règlement.
38. Si c’est bien évidemment à la juridiction de renvoi qu’il appartient de vérifier la licéité de l’opération de traitement susmentionnée, au regard notamment des exigences posées à l’article 5 du RGPD et de l’ensemble des circonstances caractérisant le cas d’espèce, plusieurs indications peuvent lui être fournies à cette fin.
39. Je relève, en premier lieu, que Digi fait état, en substance, de l’existence d’une double finalité pour le traitement incriminé, en ce sens que le but premier et spécifique de correction de la défaillance du serveur et de sécurisation de la disponibilité des données des abonnés s’inscrivait lui-même dans le cadre d’un objectif secondaire et général tenant à l’exécution des contrats d’abonnement, lequel coïncide avec celui de la collecte initiale des données.
40. Il est tout à fait concevable, en pratique, que des données à caractère personnel puissent être collectées ou traitées ultérieurement pour plusieurs finalités, ce que le RGPD envisage et admet clairement comme en témoigne le libellé de son article 5, paragraphe 1, sous b), et l’article 6 paragraphe 1, sous a), ainsi que ses considérants 32 et 50. Cette approche répond au besoin de pragmatisme et de flexibilité requis par les traitements complexes et peu linéaires des données à caractère personnel à l’ère numérique. Elle doit, cependant, prendre en compte l’exigence de précision de la finalité qui est un élément clé dans la mise en œuvre du régime européen de protection des données personnelles.
41. Un degré suffisant de précision de la finalité constitue ainsi une garantie fondamentale en termes de prévisibilité et de sécurité juridique, en ce sens qu’elle participe à la bonne compréhension par la personne concernée de l’utilisation possible de ses données et lui permet de se déterminer en toute connaissance de cause. Cette prévisibilité est essentielle dans l’appréciation de la compatibilité entre la finalité de la collecte des données et le traitement ultérieur de celles-ci, réduisant ainsi le risque de distorsion entre les attentes raisonnables des personnes concernées quant à l’utilisation possible de leurs données dans le futur et les opérations effectuées par le responsable du traitement. La spécification de la finalité est également requise pour l’application d’autres exigences en matière de qualité des données, dont le caractère adéquat, la pertinence, la proportionnalité et l’exactitude des données collectées ainsi que les exigences relatives à la durée de leur conservation conformément à l’article 5, paragraphe 1, sous c), d) et e), du RGPD.
42. Cette exigence de précision est donc valable, comme le souligne l’avis 3/2013 du groupe de travail « Article 29 » (22), pour toute opération de traitement et pas seulement au stade de l’étape initiale de la collecte des données. Il est intéressant de relever que, dans l’hypothèse d’un traitement de données fondé sur le consentement de la personne concernée, il ne sera licite, conformément aux termes de l’article 6, paragraphe 1, sous a), du RGPD, que si la personne a consenti à ce traitement pour une ou plusieurs finalités « spécifiques ».
43. Dans ces circonstances, si un traitement donné peut poursuivre la satisfaction de deux finalités, chacune de celles-ci doit recouvrir un caractère précis et présenter un lien de rattachement objectif et suffisamment étroit avec l’opération de traitement concernée.
44. Il convient, en second lieu, d’évoquer le contexte particulier dans lequel doit s’effectuer l’appréciation de la ou des finalités du traitement ultérieur en cause.
45. Conformément aux considérants 60 et 61 du RGPD, le principe de traitement loyal et transparent exige que la personne concernée soit informée de l’existence de l’opération de traitement et de ses finalités, et les informations sur le traitement de ses données à caractère personnel doivent lui être fournies au moment où celles-ci sont collectées auprès d’elle. À cet égard, l’article 13 paragraphe 1, sous c), de ce règlement prévoit que, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de celle-ci, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, les finalités du traitement auquel elles sont destinées ainsi que la base juridique du traitement.
46. Reste que, aussi prévoyant et réfléchi que puisse être un responsable du traitement, il est possible qu’il ne soit pas en mesure, dès la conception du traitement, d’envisager et de déterminer la nature ainsi que la portée exacte de toutes les opérations constituant la chaîne de traitement des données. De même, la présente affaire est une parfaite illustration de la problématique liée à la gestion d’une défaillance technique, par définition inopinée, et de la mise en œuvre subséquente d’un certain type de traitement des données pour une finalité non spécifiée initialement.
47. Dans le cadre de l’appréciation, comme en l’espèce, de la licéité d’un tel traitement par l’autorité de contrôle puis par la juridiction en charge du recours dirigé contre la décision de celle-ci, cette finalité fait l’objet d’une vérification a posteriori, au regard des indications fournies par le responsable du traitement lors de la procédure administrative. Et c’est à ce dernier, concepteur de l’opération de traitement concernée, qu’il appartient, en application du principe de responsabilité prévu à l’article 5, paragraphe 2, du RGPD, de démontrer la réalité de la finalité alléguée et, le cas échéant, la compatibilité du traitement avec l’objectif de la collecte des données (23).
48. À cet égard, deux éléments concrets et objectifs sont susceptibles d’être pris en compte au titre de la vérification de cette finalité. Premièrement, l’article 13, paragraphe 3, du RGPD prévoit que, lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de celle-ci et que le responsable du traitement a l’intention d’effectuer un traitement ultérieur pour une finalité autre que celle de la collecte, ce responsable fournit au préalable à la personne concernée des informations au sujet de cette autre finalité (24) et toute autre information pertinente visée au paragraphe 2 de cette disposition. Secondement, l’article 30, paragraphe 1, du RGPD impose à chaque responsable du traitement de tenir un registre, sous une forme écrite y compris sous une forme électronique, des activités de traitement effectuées sous leur responsabilité et de le mettre à la disposition de l’autorité de contrôle sur demande. Ce registre comporte différentes informations dont celles relatives aux finalités du traitement.
49. En l’occurrence, il semble avéré que Digi n’a informé aucun des abonnés concernés de son intention de dupliquer leurs données et de les stocker sur un support interne destiné à la réalisation de tests et la correction d’erreurs, cette opération de traitement étant considérée par cet opérateur comme dépourvue d’une finalité distincte de celle de la collecte des données et ne relevant pas, dès lors, du champ d’application de l’article 13, paragraphe 3, du RGPD (25). Le dossier soumis à la Cour ne permet pas, en outre, de déterminer si Digi est en situation de bénéficier de la dispense prévue à l’article 30, paragraphe 5, de ce règlement quant à l’obligation de tenue d’un registre (26).
50. Je relève, en tout état de cause, que, lors de l’audience, Digi a clairement indiqué que la défaillance technique survenue en 2018 n’avait pas conduit à une interruption du service contractuellement prévu, le stockage incriminé ayant été mis en œuvre en considération du seul risque d’une telle interruption. Ces déclarations doivent être reliées à des constatations matérielles objectives quant au choix de la dénomination de la base de données dite base de données « test », au fait que cette dernière ne contenait pas les données de la totalité des abonnés mais seulement d’un tiers de ceux-ci et que, après avoir été oubliée par Digi pendant les 18 mois ayant suivi la résolution de l’incident technique initial, ladite base a été immédiatement supprimée après le piratage informatique de septembre 2019 ayant affecté la sécurité des données.
51. Dans ces circonstances, il semble possible de retenir que le traitement incriminé répondait au seul objectif, concret et spécifique, d’une sécurisation temporaire d’une partie des données des abonnés en relation avec la correction d’un incident technique affectant le fonctionnement du serveur, soit un but, à mon sens, distinct de celui de la collecte des données.
52. La Commission et Digi soutiennent, en revanche, qu’un tel traitement, visant à respecter l’obligation de sécurité imposée au responsable du traitement par l’article 5, paragraphe 1, sous f), du RGPD et détaillée à l’article 32 de ce dernier, ne saurait être considéré comme poursuivant une finalité nouvelle ou distincte, sous peine de porter atteinte à l’effet utile de cet acte et de conduire à une information des personnes concernées dépourvue d’intérêt pratique.
53. Cette approche abstraite et systématique me paraît contraire à l’exigence d’une appréciation de la licéité de chaque opération de traitement en considération de toutes les circonstances pertinentes du cas d’espèce. C’est elle qui, en réalité, conduit à priver d’effet utile l’obligation d’information des personnes concernées prévue à l’article 13, paragraphe 3, du RGPD, information que le responsable du traitement doit fournir à ces personnes pour assurer à leur égard un traitement loyal des données (27). Cette obligation revêt un caractère impérieux dans l’hypothèse où le traitement s’effectue, comme en l’espèce, dans le cadre d’une relation contractuelle et trouve son fondement dans l’article 6, paragraphe 1, sous b), de cet acte relatif à la nécessité d’exécuter le contrat sans que soit requis le consentement des personnes cocontractantes. Enfin, ladite approche méconnaît la raison d’être de l’article 5, paragraphe 1, sous b), du RGPD, à savoir qu’un traitement ultérieur obéissant à une finalité distincte de celle de la collecte des données n’est pas nécessairement illicite, sa simple compatibilité avec cette dernière étant suffisante pour satisfaire à la disposition précitée.
b) Sur la compatibilité du traitement
54. L’article 5, paragraphe 1, sous b), du RGPD ne comporte aucune indication sur les conditions dans lesquelles un traitement ultérieur répondant à un objectif différent de la finalité de la collecte initiale des données peut être considéré comme étant compatible avec cette dernière. Il faut se référer, à cet égard, à l’article 6, paragraphe 4, du RGPD, lu en combinaison avec le considérant 50 de cet acte, dont le contenu traduit un lien entre le principe de limitation des finalités et la base juridique du traitement concerné.
55. Une distinction est ainsi opérée par cette disposition, s’agissant de l’exigence de compatibilité, selon que le traitement à une fin autre que celle pour laquelle les données ont été collectées est ou non fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, du RGPD.
56. Dans l’affirmative, le responsable du traitement est, aux termes du considérant 50, second paragraphe, du RGPD, autorisé à effectuer un traitement ultérieur des données à caractère personnel indépendamment de la compatibilité des finalités (28). Cette dérogation à l’exigence de compatibilité se trouve être, en substance, justifiée par l’existence d’autres règles protectrices des personnes concernées, et plus particulièrement celles relative à l’information de ces dernières au sujet des autres finalités et du droit de s’opposer au traitement (29).
57. Dans la négative, et c’est la situation qui correspond à la présente affaire, selon les termes de l’article 6, paragraphe 4, du RGPD :
« [...] le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :
a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »
58. En l’absence de toute indication formelle de la part de Digi, au moment de la collecte des données, quant au traitement ultérieur envisagé et sa finalité, il convient de s’en tenir à une approche substantielle qui me paraît aboutir au constat d’une compatibilité du traitement.
59. À cet égard, il existe indéniablement un lien entre la finalité du recueil initial des données, à savoir l’exécution du contrat d’abonnement à Internet et à la télévision, et un traitement visant à la sécurisation de ces données dans une base additionnelle interne et à la réalisation de tests, en toute sécurité, destinés à remédier à une défaillance technique potentiellement dommageable pour la fourniture du service contractuellement prévu. Sans se recouper comme indiqué précédemment, ces finalités sont logiquement reliées.
60. Il importe de souligner que ce traitement ne s’écarte pas des attentes légitimes des abonnés quant à l’utilisation ultérieure de leurs données. Un stockage supplémentaire de données sur un support interne motivé par la nécessité de résoudre une défaillance technique affectant l’accessibilité aux données de la base originelle ne peut, en effet, être considéré comme étant surprenant ou improbable. En outre, les données concernées ont continué à être traitées par le même responsable du traitement et n’ont pas été divulguées à des tiers, ce qui traduit, a priori, une absence d’impact négatif. Le fait que, dans le cadre du piratage informatique dont Digi a fait l’objet, son auteur a pu atteindre les données figurant dans ce support, ne permet pas, à mon sens, de conduire à une conclusion rétroactive d’incompatibilité du traitement en cause.
3. Sur le principe de limitation de la conservation
61. Conformément à l’article 5, paragraphe 1, sous e), du RGPD, les données doivent être conservées sous une forme permettant l’identification des personnes concernées (30) pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques conformément à l’article 89, paragraphe 1, de ce règlement, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par ledit règlement afin de garantir les droits et libertés de la personne concernée.
62. Ainsi qu’il a été mentionné, le principe de limitation de la conservation donne expression au principe de proportionnalité, de même qu’à celui de la « minimisation des données », selon lequel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (31). Dans le cadre du principe de limitation de la conservation, la question de la nécessité du traitement, envisagée sous un aspect temporel, est rapportée à celle de la persistance de sa finalité.
63. Il convient également de rappeler que le respect de l’exigence de proportionnalité implique que les dérogations à la protection des données à caractère personnel et les limitations de celles-ci doivent s’opérer dans les limites du strict nécessaire (32). La Cour a clairement indiqué que l’article 5, paragraphe 1, sous e), du RGPD vise à protéger les personnes concernées (33).
64. De manière aussi explicite, le considérant 39 du RGPD énonce que la durée de conservation des données doit être « limitée au strict minimum » et que, à cette fin, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. L’article 13, paragraphe 2, sous a), du RGPD dispose que le responsable du traitement doit fournir à la personne concernée, au moment où les données à caractère personnel sont obtenues, des informations complémentaires à celles visées au paragraphe 1 de cet article qui sont nécessaires pour garantir un traitement équitable et transparent, dont la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée (34).
65. Dans ce contexte, il y a lieu de déterminer, eu égard à l’ensemble des circonstances caractérisant le cas d’espèce (35), à quel moment les finalités du stockage d’une copie des données d’une partie des abonnés dans une base interne additionnelle pouvaient, le cas échéant, être considérées comme atteintes, privant ainsi ce traitement de sa raison d’être et contraignant Digi à l’effacement des données. Il est évident qu’il appartient au responsable du traitement, en application du principe de responsabilité prévu à l’article 5, paragraphe 2, du RGPD, d’apporter la preuve de la licéité du traitement au regard du principe de limitation de la conservation, tout comme pour le principe de limitation des finalités.
66. En l’occurrence, considérant que le stockage incriminé répondait à l’objectif de sécurisation des données et contribuait, par là même, à la réalisation de l’objectif d’exécution du contrat d’abonnement, Digi prétend que la durée de conservation des données figurant dans la base test s’alignait sur celle de l’exécution de ses obligations contractuelles, ce qui exclut toute violation de l’article 5, paragraphe 1, sous e), du RGPD.
67. S’agissant de la détermination de la ou des finalités, je me réfère à l’ensemble des constatations et des appréciations faites dans le cadre de la réponse apportée à la question du respect du principe de limitation des finalités dont il résulte qu’il ne peut être considéré que le traitement en cause poursuivait une double finalité incluant l’exécution des contrats d’abonnement (36).
68. En tout état de cause, quelle que soit la nature de la ou des finalités retenues, le traitement des données sous la forme d’un stockage dans un fichier interne supplémentaire n’en devait pas moins se limiter dans le temps à ce qui était strictement nécessaire. En d’autres termes, une fois la résolution du dysfonctionnement initial acquise, la circonstance qui a justifié l’opération de stockage et son maintien a disparu. L’objectif direct et premier de sécurisation des données en relation avec la correction de l’incident technique, pris isolément ou même en combinaison avec celui indirect et annexe d’exécution du contrat d’abonnement, ne pouvait plus, dans ces circonstances, couvrir la poursuite du traitement.
69. Force est de constater que Digi a, de manière univoque, indiqué que la base de données de test était destinée à garantir l’accès aux données des abonnés « jusqu’à ce que l’erreur soit corrigée » et que c’est par mégarde qu’elle ne l’a pas supprimée alors que la correction des erreurs ne la justifiait plus (37), ce qui signifie que le traitement incriminé n’avait plus d’utilité et était donc dépourvu de finalité. Peut-on considérer qu’une base de données interne oubliée de l’aveu même du responsable du traitement pendant un an et demi est encore susceptible de répondre à une finalité effective ? La réponse me semble être nécessairement négative.
V. Conclusion
70. À la lumière des considérations qui précèdent, je propose à la Cour de répondre comme suit à la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie) :
1) L’article 5, paragraphe 1, sous b), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) doit être interprété en ce sens que le principe y visé ne s’oppose pas à la conservation de données à caractère personnel, collectées et stockées licitement, dans une base interne additionnelle, pour autant que ce traitement poursuive les mêmes finalités que celles de la collecte ou, dans la négative, soit compatible avec ces dernières, ce qu’il appartient au responsable du traitement de démontrer, y compris dans le cas où le traitement répond à l’obligation de celui-ci de garantir une sécurité appropriée des données à caractère personnel prévue à l’article 5, paragraphe 1, sous f), dudit règlement.
Lorsque ledit traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur un acte législatif de l’Union ou d’un État membre relevant de l’article 23, paragraphe 1, du règlement 2016/679, sa compatibilité doit être établie au regard, notamment, des critères énoncés à l’article 6, paragraphe 4, de ce règlement.
2) L’article 5, paragraphe 1, sous e), du règlement 2016/679 doit être interprété en ce sens que le principe y visé s’oppose à la conservation de données sous une forme permettant l’identification des personnes concernées, collectées et stockées licitement, dans une base interne additionnelle répondant à un objectif de correction d’une anomalie technique et de sécurisation temporaire de ces données, au-delà de la durée nécessaire à la réalisation de cet objectif et donc après la résolution de cet incident, y compris lorsque ledit objectif, direct et premier, peut être relié avec celui, indirect et annexe, de l’exécution de la fourniture du service contractuellement prévu.