Lorsqu'un abonné à un service de télécommunications retire son consentement à la diffusion de ses données personnelles sur un annuaire public, la société responsable du traitement des données est tenue de mettre en place les mesures techniques et opérationnelles appropriées pour informer les autres fournisseurs d'annuaires auxquels il a fourni les données en cause du retrait du consentement de la personne concernée, a estimé la Cour de justice de l'Union européenne (CJUE) dans un arrêt rendu jeudi 27 octobre (affaire C-129/21).
En Belgique, le fournisseur de services de télécommunications Proximus conteste auprès de la justice belge la décision de l'autorité nationale de protection des données lui ayant infligé des mesures correctives et une amende de 20 000 euros pour violation du règlement 'RGPD' (2016/679) relatif au traitement des données personnelles des personnes.
Un abonné à Telenet, un autre opérateur de services téléphoniques, avait demandé à Proximus de ne pas faire figurer ses données personnelles dans ses annuaires sur la base des informations reçues de Telenet. Proximus, qui avait modifié le statut de l'abonné, a ensuite reçu une mise à jour par Telenet des données du plaignant qui n'étaient pas indiquées comme étant confidentielles. Ces informations ont fait l’objet d’un traitement automatisé par Proximus et figuraient à nouveau dans les annuaires.
À la demande réitérée de l’abonné de retrait de ses données, Proximus a répondu qu’elle avait supprimé les données concernées des annuaires et contacté Google pour que les liens pertinents vers le site Internet de Proximus soient supprimés. Proximus a également informé cet abonné qu’elle avait transmis ses coordonnées à d’autres fournisseurs d’annuaires et que, grâce aux mises à jour mensuelles, ces fournisseurs avaient été informés de la demande.
Saisie par la Cour d'appel de Bruxelles, la CJUE confirme que le consentement d’un abonné dûment informé est nécessaire pour la publication dans un annuaire public de ses données à caractère personnel et que ce consentement s’étend à tout traitement ultérieur de ses données par des entreprises tierces actives sur le marché des annuaires. Est ainsi requise une manifestation de la volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’« un acte positif clair » marquant son acceptation du traitement de ses données personnelles.
Toutefois, un tel consentement ne suppose pas qu'à la date à laquelle il est donné, la personne concernée connaisse nécessairement l’identité de tous les fournisseurs d’annuaires qui traiteront ses données personnelles.
D'après la Cour, un abonné doit être en mesure de supprimer ses données personnelles des annuaires publics. Lorsque celui-ci fait usage d'un tel droit à l'effacement (article 17 du règlement 'RGPD'), la société responsable du traitement des données personnelles, comme Proximus, doit mettre en place des mesures techniques et organisationnelles appropriées pour informer les autres fournisseurs d'annuaires, auxquels il a fourni de telles données, du retrait du consentement de la personne concernée. Elle doit alors veiller à ce que l'autre fournisseur adapte la liste des données personnelles que celui-ci lui transmet automatiquement. Et elle doit prendre des mesures raisonnables pour informer les moteurs de recherche de la demande de retrait des données personnelles de l'abonné.
La Cour est d'avis que, lorsque différents responsables du traitement se fondent sur le consentement unique de la personne concernée, il suffit, afin que cette personne retire un tel consentement, qu’elle s’adresse à un seul des responsables du traitement.
Voir l'arrêt de la Cour : https://aeur.eu/f/3tc (Mathieu Bion)