La CJUE estime que les plaintes relatives au RGPD ne peuvent pas être rejetées sur la base de leur fréquence
La fréquence des plaintes déposées auprès des autorités de protection des données en vertu du règlement général sur la protection des données (RGPD) n’a pas d’incidence sur la validité de la plainte, selon la Cour de justice de l’Union européenne (CJUE).
La fréquence des plaintes déposées auprès des autorités de protection des données en vertu du règlement général sur la protection des données (RGPD) n’a pas d’incidence sur la validité de la plainte, selon une décision préliminaire rendue par la Cour de justice de l’Union européenne (CJUE) ce jeudi 9 janvier.
Si le contraire avait été statué, cela aurait pu limiter la capacité des militants à faire pression pour une application plus stricte du RGPD. L’arrêt d’aujourd’hui est donc une bonne nouvelle pour les défenseurs du droit à la liberté d’information et à la confidentialité des données.
« Les demandes ne peuvent être qualifiées d’“excessives”, au sens de cette disposition, au seul motif de leur nombre au cours d’une période déterminée », peut-on lire dans l’arrêt.
L’autorité autrichienne de protection des données (Österreichische Datenschutzbehörde, ADPA) avait rejeté la plainte d’une personne concernée parce qu’elle se plaignait trop souvent — quelque 77 plaintes entre 2018 et 2020 — et ajoutait que la personne la contactait régulièrement par téléphone avec des demandes supplémentaires. Elle souhaitait autoriser un maximum de deux plaintes par personne chaque mois.
Mais le 22 décembre 2022, un tribunal autrichien a annulé le rejet de l’ADPA, estimant que la fréquence est un critère insuffisant pour qu’une plainte soit jugée « excessive » — pour cela, il faudrait qu’elle soit « manifestement vexatoire ou abusive par nature ».
L’autorité autrichienne a fait appel auprès de la CJUE, mais cette dernière a également déclaré aujourd’hui qu’il fallait « une intention abusive de la part de la personne qui a présenté ces demandes ».
L’organisation non gouvernementale (ONG) pour les droits numériques Noyb a réagi à cette décision, la qualifiant de gifle pour l’ADPA, et ajoutant que la CJUE a clairement indiqué que, tant que les plaintes ne sont pas vexatoires, tous les utilisateurs ont le droit d’obtenir réparation pour toute violation du RGPD.
Ils ont toutefois ajouté qu’il ne s’agissait pas seulement d’un problème autrichien et qu’il avait un impact sur l’ensemble de l’UE.
À la question de savoir combien de demandes l’autorité autrichienne avait rejetées sur la base de la fréquence avant l’arrêt d’aujourd’hui et ce qu’il adviendrait de ces demandes après le verdict, celle-ci a renvoyé à ses rapports annuels sur la protection des données.
Ces rapports ne présentent pas les chiffres en fonction du motif de rejet, mais montrent que seuls 1 à 2 % des cas relevant de l’ADPA donnent lieu à une amende.
[Édité par Anna Martino]
