noyb gagne devant la CJUE : Le droit à l'information doit inclure le contexte - dans certains cas, également des documents et des extraits de bases de données
Hier, la Cour de justice de l'Union européenne (CJUE) a statué que les utilisateurs doivent non seulement recevoir une copie de leurs données brutes, mais aussi le contexte de ces données d'une manière compréhensible. Cela peut également inclure les documents qui contiennent des données à caractère personnel. Le terme "copie" signifie la reproduction fidèle et exacte des données réelles.
Simple liste de données brutes ou copie conforme ? Le litige initial concernait une demande d'information au titre de l'article 15 du GDPR adressée à l'agence d'évaluation du crédit CRIF - que noyb a également poursuivie avec succès pour d'autres violations de la protection des données. CRIF a répondu à la personne concernée en lui fournissant une simple liste des données traitées à son sujet. La personne concernée, qui a demandé une copie de toutes les données la concernant, y compris des extraits de bases de données, a déposé une plainte auprès de l'autorité autrichienne de protection des données. L'affaire s'est finalement retrouvée devant la Cour administrative fédérale autrichienne, qui a posé plusieurs questions préjudicielles à la CJUE sur la portée du droit de recevoir une "copie des données" en vertu de l'article 15, paragraphe 3, du GDPR.
Le GDPR exige que l'utilisateur comprenne le traitement. Dans son arrêt, la CJUE souligne que l'objectif du GDPR est de renforcer et de définir précisément les droits des personnes concernées. Le droit d'accès revêt une importance particulière dans ce contexte, car il permet aux personnes concernées d'exercer d'autres droits, tels que l'effacement, la rectification ou l'opposition, ce qui ne serait possible que dans une mesure limitée si l'on n'avait pas connaissance des données spécifiques traitées.
Max Schrems :"Nous sommes heureux que la CJUE souligne l'importance du droit d'accès. Sans le contexte du traitement, il est souvent impossible pour les personnes concernées de comprendre ce qui est stocké à leur sujet"
Des extraits de bases de données et des documents peuvent être nécessaires. Il est également important que la CJUE souligne la nécessité de contextualiser les informations fournies. Il ne suffit pas que les entreprises envoient une simple liste de données brutes. Les données doivent être fournies à la personne concernée dans leur intégralité, dans leur contexte et dans le respect de l'original. Cela est particulièrement important pour les données générées à partir d'autres données - comme dans le cas présent, où les scores de crédit ont été calculés sur la base des données de la personne concernée. Dans ce cas, il sera régulièrement essentiel de fournir des extraits de documents, des documents entiers ou même des extraits de bases de données, comme le souligne la CJUE. Il est sinon difficile pour la personne concernée de comprendre la véritable signification des données, mais aussi si les données sont manipulées, incohérentes ou seulement partiellement fournies.
Max Schrems :"L'arrêt met fin à la pratique illégale qui consiste à fournir simplement une masse de données sans autre explication. En particulier dans le cas de traitements plus complexes, les entreprises doivent veiller à ce que les données traitées soient parfaitement compréhensibles, au besoin en fournissant un extrait de la base de données ou une copie des documents
