Proximus et la publication de données dans des annuaires publics : un consentement pour les gouverner tous et dans la transparence les (dé)lier

(1) Réf. au Seigneur des anneaux de J.R.R. Tolkien.

(2) Arrêt ici commenté.

(3) APD, ch. contentieuse, décis. quant au fond 42/2020, 30 juill. 2020, no DOS-2019-04309.

(4) Règl. (UE) 2016/679 du Parlement et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

(5) Dir. 2002/58/CE du Parlement et du Conseil du 12 juill. 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (dir. « vie privée et communications électroniques »), telle que modifiée par les dir. 2006/24/CE et 2009/136/CE.

(6) L'art. 11 de ladir. 97/66/CE du Parlement et du Conseil du 15 déc. 1997 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications prévoyait ainsi que : « L'abonné doit avoir le droit d'obtenir gratuitement, sur demande, de ne pas figurer dans un annuaire, imprimé ou électronique […] ».

(7) V. not., l'exposé des motifs de la proposition de directive ePrivacy (COM/2000/0385 final-COD 2000/0189) : « Le maintien de la situation par défaut prévue dans la directive 97/66/CE, qui consiste à inclure dans l'annuaire les données relatives aux abonnés aux services de téléphonie fixe, a été défendu parce que les annuaires publics d'abonnés sont établis dans l'intérêt du public et font partie du service universel. Toutefois, pour les nouveaux services de communications électroniques comme le GSM et le courrier électronique, il n'est plus approprié de supposer que les abonnés à ces services doivent figurer par défaut dans des annuaires publics. Au contraire, la plupart des abonnés ne souhaitent pas rendre publics leurs numéros de téléphone mobile et leurs adresses de courrier électronique et en pratique, la plupart des fournisseurs de services ont respecté ce souhait, pour des raisons commerciales valables. Il est donc nécessaire d'adapter l'article consacré aux annuaires d'abonnés à l'évolution de la situation, en donnant aux abonnés le droit de décider s'ils veulent ou non figurer dans un annuaire public et si oui, quelles données à caractère personnel seront mentionnées. »

(8) CJUE 5 mai 2011, aff. C-543/09, Deutsche Telekom ; CJUE 15 mars 2017, aff. C-536/15, Tele2, D. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 599, obs. J. Uzan-Naulin et R. Perray.

(9) Elle relève not. que l'art. 12, § 3, de la dir. ePrivacy prévoit que les États membres peuvent demander que « le consentement des abonnés soit également requis » pour toute finalité d'annuaire public autre que la simple recherche des coordonnées d'une personne sur la base de son nom. Si un consentement complémentaire est requis dans ce cas, cela signifie nécessairement qu'un premier consentement doit être recueilli pour la finalité classique d'annuaire public.

(10) Arrêt commentée, pt 45.

(11) Ibid., pts 52 et 53.

(12) G29, Lignes directrices sur le consentement au sens du règlement 2016/679, version révisée et adoptée le 10 avr. 2018, WP259 rév.01, p. 4.

(13) Ainsi, les abonnés devront not., conformément à l'art. 12, § 1er, de la dir. ePrivacy, être « informés gratuitement et avant d'y être inscrits des fins auxquelles sont établis des annuaires d'abonnés imprimés ou électroniques accessibles au public ou consultables par l'intermédiaire de services de renseignements, dans lesquels les données à caractère personnel les concernant peuvent figurer, ainsi que de toute autre possibilité d'utilisation reposant sur des fonctions de recherche intégrées dans les versions électroniques des annuaires ».

(14) Il faut relever sur ce point un raisonnement intéressant de l'APD pour écarter l'existence d'une responsabilité conjointe sur la communication des données entre les entités. Pour l'autorité belge, « la transmission se scinde alors entre la communication par transmission par la défenderesse d'une part et la réception des données à caractère personnel par les fournisseurs tiers d'annuaires ou de services de renseignements téléphoniques d'autre part […] plusieurs responsables de traitement peuvent interagir dans le cadre d'un traitement sans nécessairement en déterminer ensemble les finalités et les moyens » (décis. préc., pt 57).

(15) Arrêt commenté, pt 49.

(16) Pour l'APD, ce consentement ne permet en revanche pas de couvrir la transmission ultérieure par Proximus des données en sa possession à d'autres fournisseurs d'annuaires tiers. Elle a donc enjoint à Proximus de cesser cette transmission dépourvue de base légale, sous une période de tolérance d'un an pour lui permettre de développer éventuellement un nouveau système conforme.

(17) V. not. le consid. 7 du RGPD (« Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant »). V. aussi l'art. 1er, al. 2, de la loi no 78-17 du 6 janv. 1978, relative à l'informatique, aux fichiers et aux libertés, mentionnant « les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant ».

(18) V. not. G29, Lignes directrices sur le consentement au sens du règl. (UE) 2016/679, préc., p. 15 : « Pour que le consentement soit éclairé, il est nécessaire d'informer la personne concernée de certains éléments cruciaux pour opérer un choix. Aussi le G29 est-il d'avis qu'au moins les informations suivantes sont nécessaires afin d'obtenir un consentement valable : (i) l'identité du responsable du traitement […] Concernant les points (i) et (iii), le G29 signale que si le consentement sollicité servira de base à plusieurs responsables (conjoints) du traitement ou si les données seront transférées à, ou traitées par, d'autres responsables qui souhaitent se fonder sur le consentement original, ces organisations devraient toutes être nommées. » V. aussi le consid. 42 du RGPD.

(19) CNIL, La prospection vers les particuliers (B to C) : quelles règles pour transmettre des données à des partenaires ? », cnil.fr, 27 janv. 2022.

(20) CJUE 5 mai 2011, aff. C-543/09, préc., pt 62. Raisonnement repris dans l'arrêt ici commenté, pt 47.

(21) Ibid., pts 63 et 64. Raisonnement repris dans l'arrêt ici commenté, pt 48.

(22) Dir. 2002/21/CE du Parlement et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (dir. cadre), et 2002/22/CE du Parlement et du Conseil du 7 mars 2002 concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques (dir. « Service universel »).

(23) Anc. art. 25 de l'ex-dir. « Service universel » et nouv. art. 112 dir. (UE) 2018/1972 du Parlement et du Conseil du 11 déc. 2018 établissant le code des communications électroniques européen.

(24) CJUE 5 mai 2011, aff. C-543/09, préc., pt 51 (se référant à CJUE 9 nov. 2010, aff. C-92/09 et C-93/09, Volker und Markus Schnecke et Eifert, RTD eur. 2011. 375, chron. A. Potteau).

(25) Qui prévoit l'abrogation de la dir. 95/46/CE avec effet au 25 mai 2018, et que les références faites à la dir. abrogée s'entendent comme faites au présent règlement.

(26) Aff. commentée ici, pt 62. V. aussi APD, ch. contentieuse, décis. quant au fond 42/2020, préc.

(27) Ibid., pts 68 et 69.

(28) CNIL, délib. de la formation restreinte no SAN-2022-021, 24 nov. 2022, EDF.

(29) Arrêt commenté ici, pt 89.

(30) Ibid., pt 83.

(31) Ibid., pt 93.

(32) En l'espèce, l'APD avait souligné le fait que le nombre de fournisseurs de moteurs de recherche opérant en Belgique était limité et que Google détenait une part de marché comprise entre 90 %, s'agissant des recherches effectuées sur les ordinateurs de bureau, et 99 %, s'agissant des recherches effectuées sur les smartphones et les tablettes (arrêt commenté ici, pt 97).