Là Cour de justiceavec une sentence rendue en affaire C-46/23 a exprimé son avis sur les pouvoirs de l’autorité garante des données personnelles d’un État membre (en Italie, le garant de la vie privée), précisant qu’elle peut ordonnerbureauou même en l’absence de demande préalable de l’intéressé présentée à cet effet, le suppression des données traitées illégalementsi une telle mesure est nécessaire pour remplir sa mission, consistant à assurer la pleine conformité avec le RGPD.
Si cette autorité constate que le traitement des données n’est pas conforme au RGPD, doit remédier à la violation constatéeet ce même sans demande préalable de l’intéressé : en effet, exiger une telle demande impliquerait que le responsable du traitement pourrait, en son absence, conserver les données en question et continuer à les traiter illégalement.
En outre, l’autorité de contrôle d’un État membre peut ordonner la suppression des données à caractère personnel traitées illégalement. s’ils proviennent directement de l’intéresséles deux au cas où venir d’une autre source.
La décision fait référence au cas d’une administration municipale hongroise qui, en 2020, avait décidé d’aider financièrement les personnes fragilisées par la pandémie de Covid-19 et, à cet effet, avait demandé au trésor hongrois de lui fournir des fonds. données personnelles nécessaires à la vérification des conditions d’éligibilité pour obtenir de l’aide.
Prévenu par un rapportl’autorité hongroise de protection des données avait constaté une violation des règles du RGPDpar les administrations concernées, et pour cette raison, avait infligé des sanctions sanctions financières et leur ordonna pour supprimer les données des personnes éligibles à l’aide qui n’avaient pas demandé l’aide elle-même : il a notamment été constaté que les administrations concernées ils n’avaient pas informé les intéressésdans le délai d’un mois fixé à cet effet, ni de l’utilisation de leurs données, ni de leur finalité, ni de leurs droits relatifs à la protection des données.
Or, une des administrations concernées s’était adressée à la Cour de justice, estimant que l’autorité de contrôle n’avait pas le pouvoir d’ordonner la suppression des données personnelles. sans demande préalable présentée à cet effet par l’intéressé.
Ceci, contrairement à ce qu’affirme le pétitionnaire, le principe exprimé par la Cour de Justice concernant les pouvoirs de l’Autorité de Contrôle (en Italie, le Garant de la Vie Privée) :
– L’art. 58, paragraphe 2, lettres d) et g), du règlement (UE) 2016/679 (RGPD) doit être interprété en ce sens que l’autorité de contrôle d’un État membre c’est légitimédans l’exercice de son pouvoir d’adopter les mesures correctrices prévues par les présentes dispositions, un ordonner au responsable du traitement ou au sous-traitant d’effacer les données personnelles qui ont été traités illicitement, et cela même si l’intéressé n’a présenté aucune demande pour exercer ses droits à cette fin en application de l’art. 17(1) de ce règlement.
– L’art. 58, paragraphe 2, du RGPD doit être interprété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner la suppression de données à caractère personnel, qui ont été traitées illégalement, peuvent concerner à la fois données collectées auprès de l’intéressé et données entrantes d’une autre source.
Tags: Les pouvoirs Garant Vie Privée cas traitement illicite des données
