CJUE – Digi – C-77/21

Décision

🏷️ Nom:

Digi

🔢 Numéro:

C-77/21

📅 Date:

20 octobre 2022

⚖️ Autorité:

Cour de Justice de l'UE

🌍 Pays:

Hongrie

🔗 Lien:

Contexte

Digi est l’un des principaux fournisseurs de services Internet et de télévision en Hongrie. Au mois d’avril 2018, à la suite d’une défaillance technique ayant affecté le fonctionnement d’un serveur, Digi a créé une base de données dite « de test » (ci-après la « base de données de test »), dans laquelle elle a copié les données à caractère personnel d’environ un tiers de ses clients particuliers, lesquelles étaient conservées dans une autre base de données, appelée « digihu », susceptible d’être reliée au site www.digi.hu, comportant les données tenues à jour des personnes qui se sont inscrites en vue de recevoir la lettre d’information de Digi, à des fins de marketing direct, ainsi que les données d’administrateur système donnant accès à l’interface du site.

Le 23 septembre 2019, Digi a eu connaissance du fait qu’un « pirate éthique » avait eu accès aux données personnelles détenues par cette dernière concernant environ 322 000 personnes. Après avoir supprimé la base de données de test, Digi a notifié la violation de données à caractère personnel à l’Autorité le 25 septembre 2019, qui a par la suite ouvert une enquête. Par une décision du 18 mai 2020, l’Autorité a notamment conclu que Digi avait enfreint l’article 5, paragraphe 1, sous b) et e), du règlement 2016/679 et a imposé à Digi d’examiner l’ensemble de ses bases de données et lui a infligé une amende d’un montant de 100 000 000 forints hongrois (HUF) (environ 248 000 euros). Digi a contesté la légalité de cette décision devant la juridiction de renvoi

Apport(s)
Limitation des finalités - Réutilisation de données afin de créer une base "test" - Admission sous réserve de compatibilité Extrait(s) pertinent(s)45. Il résulte de l’ensemble des considérations qui précèdent qu’il y a lieu de répondre à la première question que l’article 5, paragraphe 1, sous b), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation des finalités », prévu à cette disposition, ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées, ce qu’il convient de déterminer au regard des critères visés à l’article 6, paragraphe 4, de ce règlement. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Limitation des finalités Fait référence à > CJUE – Valsts ieņēmumu dienests – C-175/20 Autres informations
Réutilisation de données afin de créer une base "test" - Principe de conservation limitée - Applicabilité - Admission Extrait(s) pertinent(s)62. Il résulte de l’ensemble des considérations qui précèdent qu’il y a lieu de répondre à la seconde question que l’article 5, paragraphe 1, sous e), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs. Article(s) du RGPD Article 5 – Principes relatifs au traitement Thème(s)Conservation limitée Fait référence à > CJUE – Valsts ieņēmumu dienests – C-175/20 > CJUE – Latvijas Republikas Saeima (Points de pénalité) – C-439/19 > CJUE – GC e.a. – C-136/17 > CJUE – Rijkeboer – C-553/07 Autres informations

Apport(s)

Limitation des finalités - Réutilisation de données afin de créer une base "test" - Admission sous réserve de compatibilité

Extrait(s) pertinent(s)45. Il résulte de l’ensemble des considérations qui précèdent qu’il y a lieu de répondre à la première question que l’article 5, paragraphe 1, sous b), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation des finalités », prévu à cette disposition, ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées, ce qu’il convient de déterminer au regard des critères visés à l’article 6, paragraphe 4, de ce règlement.
Article(s) du RGPD Article 5 – Principes relatifs au traitement
Thème(s)Limitation des finalités
Fait référence à > CJUE – Valsts ieņēmumu dienests – C-175/20
Autres informations

Réutilisation de données afin de créer une base "test" - Principe de conservation limitée - Applicabilité - Admission

Extrait(s) pertinent(s)62. Il résulte de l’ensemble des considérations qui précèdent qu’il y a lieu de répondre à la seconde question que l’article 5, paragraphe 1, sous e), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.
Article(s) du RGPD Article 5 – Principes relatifs au traitement
Thème(s)Conservation limitée
Fait référence à > CJUE – Valsts ieņēmumu dienests – C-175/20
> CJUE – Latvijas Republikas Saeima (Points de pénalité) – C-439/19
> CJUE – GC e.a. – C-136/17
> CJUE – Rijkeboer – C-553/07
Autres informations