Une réglementation nationale obligeant une autorité chargée de la sécurité routière à donner accès à des données concernant les points de pénalité imposés aux conducteurs pour des infractions routières est contraire au règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») (22 juin)
Arrêt Latvijas Republikas Saeima (Points de pénalité), aff. C-439/19
Saisie d’un renvoi préjudiciel par la Latvijas Republikas Satversmes tiesa (Lettonie), la Cour de justice de l’Union européenne estime que les informations relatives aux points de pénalité sont des données à caractère personnel et que leur communication par une autorité publique à des tiers constitue un traitement relevant du champ d’application matériel du RGPD. En l’espèce, l’attribution de points de pénalité pour des infractions routières ne vise pas uniquement à réparer un préjudice éventuel mais poursuit également une finalité répressive. Ainsi, le traitement de données relatives aux points de pénalité constitue un traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions pour lequel le RGPD prévoit une protection accrue. En outre, la Cour considère que le RGPD s’oppose à l’obligation faite à une autorité publique de rendre de telles données accessibles au public, sans que la personne ayant demandé l’accès n’ait à justifier d’un intérêt spécifique à les obtenir, ainsi qu’à la communication de ces données aux opérateurs économiques pour qu’ils puissent les réutiliser et les communiquer au public. La décision de la juridiction constitutionnelle, saisie d’un recours contre une législation nationale déclarée incompatible avec le droit de l’Union par la Cour, de maintenir effets juridiques de cette législation jusqu’à la date de prononcé de l’arrêt est contraire au principe de primauté du droit de l’Union. (LT)