Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Précisions du Conseil d’Etat sur l’exercice du droit d’opposition

Le Conseil d’Etat a rendu, le 18 mars 2019, une décision intéressante sur la notion de motif légitime en matière de droit d’opposition à l’utilisation des données à caractère personnel prévu à l’article 38 de la loi n°78-17 du 6 janvier 1978 dite « Informatique et Libertés ».

Il convient de préciser que cette décision a été rendue sur le fondement de la règlementation applicable avant l’entrée en vigueur du Règlement européen pour la protection des données n°2016/679 du 27 avril 2016 dit « RGPD ».

En effet, l’article 38 de la loi Informatique et libertés prévoit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 21 du RGPD prévoit quant à lui que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions ».

A noter que la loi Informatique et Libertés sera modifiée par l’ordonnance n°2018-1125 du 12 décembre 2018 qui devrait entrer en vigueur au plus tard le 1er juin 2019. Le droit d’opposition visé à l’article 56 de la loi Informatique et Libertés modifiée (anciennement l’article 38) renverra directement à l’article 21 du RGPD : « Le droit d’opposition s’exerce dans les conditions prévues à l’article 21 du règlement (UE) 2016/679 du 27 avril 2016 ».

En l’espèce, Madame B. a souhaité s’opposer à l’enregistrement et à la conservation des données personnelles relatives à ses enfants, scolarisés dans une école primaire publique, dans la « base élèves premier degré » (BE1D) et la « base nationale élève » (BNIE).

Face au refus de l’inspecteur d’académie, directeur des services départementaux de l’éducation nationale, de faire droit à sa demande ainsi qu’au rejet du recours hiérarchique par la suite, Madame B. a introduit une action auprès des juridictions administratives compétentes en la matière.

Le Conseil d’Etat précise ainsi que le droit pour toute personne physique de s’opposer pour des motifs légitimes à ce que des données personnelles la concernant fassent l’objet d’un traitement « est subordonné à l’existence de raisons légitimes tenant de manière prépondérante à sa situation particulière ».

Le Conseil d’Etat confirme la décision de la Cour administrative d’appel qui a jugé que  la requérante ne justifiait pas de motifs légitimes de nature à justifier cette opposition, cette dernière se bornant à invoquer des craintes d’ordre général concernant notamment la sécurité du fonctionnement de la base, sans faire état de considérations qui lui seraient propres ou seraient propres à ses enfants.

Le Conseil d’Etat rappelle ainsi que de simples considérations générales ne suffisent pas à s’opposer au traitement de ses données personnelles et qu’il convient de justifier de motifs propres pour s’opposer à la collecte et au traitement de ses données personnelles.

Cette décision va dans le sens de la loi Informatique et Libertés telle que modifiée afin d’intégrer les dispositions du RGPD : le droit d’opposition doit être justifié pour des raisons tenant à la situation particulière de la personne concernée par le traitement des données personnelles.

Décision du Conseil d’Etat du 18 mars 2019, n°406313

L’examen approfondi de la notion de directeur de publication par les juges

L’examen approfondi de la notion de directeur de publication par les juges

Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication (article 93-2 de la loi du 29 juillet 1982), c’est-à-dire une personne responsable du contenu éditorial.

Les services de communication au public en ligne tels que les sites internet doivent également mentionner l’identité du directeur de publication au sein des mentions légales (article 6 III de la loi du 21 juin 2004 pour la confiance dans l’économie numérique, dite « LCEN »).

De récentes décisions ont rappelé l’importance de la notion du directeur de publication :

  • Jugement du 12 novembre 2018 du TGI de Pau (Ch. Correctionnelle)
    Selon les articles 93-2 et 3 de la loi du 29 juillet 1982 sur la communication audiovisuelle, le responsable des infractions commises par « un service de communication au public par voie électronique est le directeur de la publication, défini comme la personne physique qui fournit le service ».
    Se fondant sur les articles ci-dessus mentionnés, le Tribunal de grande instance de Pau a estimé, dans le cas d’une publication sur Facebook, que le titulaire d’un compte Facebook devait être qualifié de directeur de la publication du compte qu’il avait créé et dont il avait les codes d’accès.
    Le titulaire d’un compte Facebook a ainsi été condamné à 1 000 € d’amende pour injure publique.

 

  • Arrêt de la Cour de cassation (Crim.) du 22 janvier 2019 n° 18-81779
    En l’espèce, un site internet mentionnait comme directeur de la publication une personne condamnée à la réclusion criminelle à perpétuité, et comme directeur adjoint un homme condamné à trente ans de prison.
    La Cour d’appel de Paris avait constaté que ces personnes étaient dans l’impossibilité d’assumer leurs responsabilités de directeur de publication et de directeur adjoint du fait de leur incarcération et de leur absence de connexion à internet. Ils ne pouvaient notamment pas faire droit aux demandes d’exercice du droit de réponse qui leur étaient adressées conformément à l’obligation qui ressort de l’article 6 IV de la LCEN : le directeur de la publication est « tenu d’insérer dans les trois jours de leur réception les réponses de toute personne nommée ou désignée dans le service de communication au public en ligne sous peine d’une amende de 3 750 Euros, sans préjudice des autres peines et dommages-intérêts auxquels l’article pourrait donner lieu ».
    De plus, une enquête avait permis de déterminer que l’éditeur du service de communication au public en ligne était effectivement le président de l’association.
    L’obligation de l’article 6 III de la LCEN n’a donc pas été respectée et la mention du directeur de publication était fausse.
    Le président de l’association a été condamné à une peine de trois mois de prison avec sursis et de 5.000 € d’amende, la Cour de cassation a en effet rejeté le pourvoi contre l’arrêt de la cour d’appel de Paris du 18 janvier 2018 qui a confirmé le jugement du 14 mars 2017 du TGI de Paris prononçant la condamnation.
    Il s’agit d’une condamnation particulièrement sévère au regard des obligations de la LCEN et l’identification du directeur de publication. Cependant, la Cour d’appel rappelle que le président de l’association avait déjà été condamné à plusieurs reprises à des peines d’amende.