L’autorité de contrôle d’un Etat membre peut ordonner l’effacement de données traitées de manière illicite, même en l’absence d’une demande préalable de la personne concernée (14 mars)
Arrêt Újpesti Polgármesteri Hivatal, aff. C-46/23
Saisie d’un renvoi préjudiciel par la cour de Budapest-Capitale (Hongrie), la Cour de justice de l’Union européenne a interprété le règlement (UE) 2016/679 (dit « RGPD ») concernant les modalités d’effacement de données personnelles traitées illicitement. En l’espèce, une administration municipale avait demandé aux administrations nationales de lui fournir des données à caractère personnel afin de vérifier les conditions d’éligibilité pour octroyer une aide financière à des citoyens. Ce traitement a été déclaré illicite par l’autorité de contrôle nationale, qui avait demandé à la municipalité d’effacer les données des personnes éligibles n’ayant pas sollicité l’aide, données qu’elle avait obtenues de l’autorité nationale. Dans un 1er temps, la Cour confirme le raisonnement de l’autorité nationale qui estimait que l’illégalité du traitement reposait sur le fait que l’administration municipale n’avait pas informé les personnes concernées du traitement, ni de sa finalité ou encore de leurs droits en matière de protection de données, dans le délai d’un mois imparti. Dans un 2nd temps, la Cour ajoute que l’autorité de contrôle d’un État membre peut ordonner, même sans demande préalable d’une personne concernée, l’effacement de données illicitement traitées si une telle mesure est nécessaire pour veiller au respect du RGPD. Un tel effacement peut aussi bien concerner les données collectées auprès de cette personne que celles provenant d’une autre source. (CZ)