Invitée par la Cour de Budapest-Capitale (Hongrie) à interpréter le règlement général pour la protection des données (RGPD), la Cour de justice de l’UE a rendu, jeudi 14 mars, un arrêt dans lequel elle estime que l’autorité de protection des données d’un État membre peut ordonner à ce dernier d’effacer les données traitées de manière illicite, même en l’absence d’une demande préalable de la personne concernée (affaire C-46/23).
Cet arrêt fait suite à une affaire qui avait opposé l’autorité compétente hongroise pour les données à l’administration municipale d’Újpest. Celle-ci avait demandé au Trésor public hongrois, en 2020, afin d'aider financièrement les personnes fragilisées par la pandémie de Covid-19, les données à caractère personnel nécessaires à la vérification des conditions d’éligibilité pour l’obtention de l’aide.
L’autorité hongroise avait jugé que l'administration d’Újpest, le Trésor public et le bureau gouvernemental avaient violé des règles du RGPD et leur avait infligé des amendes pour ne pas avoir informé les personnes concernées, dans le délai d’un mois imparti à cet effet, ni du fait et de la finalité de l'utilisation de leurs données ni de leurs droits en matière de protection de données.
L’administration d’Újpest s’était aussi vue ordonner d’effacer les données des personnes éligibles qui n'avaient pas sollicité l’aide. Elle avait contesté cette décision devant la justice nationale.
Dans son arrêt, la CJUE déclare que l’autorité de contrôle d’un État membre peut ordonner d’office - même en l’absence d’une demande préalable de la personne concernée - l’effacement de données illicitement traitées, si une telle mesure est nécessaire pour remplir sa mission consistant à veiller au plein respect du RGPD.
En outre, précise-t-elle, l’autorité compétente peut ordonner l’effacement des données lorsque celles-ci proviennent directement de la personne concernée et aussi lorsqu'elles proviennent d'une autre source.
Voir l’arrêt : https://aeur.eu/f/bbo (Thomas Mangin)