CJUE – Újpesti Polgármesteri Hivatal – C-46/23

Décision

Autorité:

Cour de Justice de l'UE

Numéro:

C-46/23

Nom:

Újpesti Polgármesteri Hivatal

Date:

14 mars 2024

Pays:

Hongrie

Lien:

Cliquer ici

Contexte

Au mois de février 2020, l’administration d’Újpest a décidé de fournir une aide financière aux résidents qui appartenaient à une catégorie de personnes fragilisées par la pandémie de COVID-19 et qui remplissaient certaines conditions d’éligibilité. À cette fin, elle s’est adressée au Magyar Államkincstár (Trésor public hongrois) et au bureau gouvernemental du quatrième district de Budapest-Capitale, en vue d’obtenir les données à caractère personnel nécessaires à la vérification de ces conditions d’éligibilité.

Alertée par un signalement, l’autorité de contrôle hongroise a ouvert d’office, le 2 septembre 2020, une enquête relative au traitement des données à caractère personnel sur lequel reposait le programme d’aide susmentionné. Dans une décision adoptée le 22 avril 2021, cette autorité a constaté que l’administration d’Újpest avait violé plusieurs dispositions des articles 5 et 14 du RGPD ainsi que l’article 12, paragraphe 1, de celui-ci. L’autorité de contrôle hongroise a ordonné à l’administration d’Újpest, en vertu de l’article 58, paragraphe 2, sous d), du RGPD, d’effacer les données à caractère personnel des personnes concernées.

Par un recours administratif contentieux, introduit devant la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), qui est la juridiction de renvoi, l’administration d’Újpest conteste la décision de l’autorité de contrôle hongroise.

Apport(s)
Pouvoirs de l'autorité de contrôle - Pouvoir d'ordonner l'effacement de données personnelles traitées illicitement - En l'absence de demande d'exercice des droits - Admission Extrait(s) pertinent(s)46. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 58, paragraphe 2, sous d) et g), du RGPD doit être interprété en ce sens que l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous-traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, de ce règlement. Article(s) du RGPD Article 58 – Pouvoirs Fait référence à > CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22 > CJUE – Meta Platforms Ireland – C-319/20 > CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18 > CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18 Autres informations
Pouvoirs de l'autorité de contrôle - Pouvoir d'ordonner l'effacement de données personnelles traitées illicitement - Incidence du mode de collecte (direct ou indirect) - Absence Extrait(s) pertinent(s)53. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 58, paragraphe 2, du RGPD doit être interprété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source. Article(s) du RGPD Article 58 – Pouvoirs Fait référence à Autres informations

Apport(s)

Pouvoirs de l'autorité de contrôle - Pouvoir d'ordonner l'effacement de données personnelles traitées illicitement - En l'absence de demande d'exercice des droits - Admission

Extrait(s) pertinent(s)46. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 58, paragraphe 2, sous d) et g), du RGPD doit être interprété en ce sens que l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous-traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, de ce règlement.
Article(s) du RGPD Article 58 – Pouvoirs
Fait référence à > CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22
> CJUE – Meta Platforms Ireland – C-319/20
> CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18
> CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18
Autres informations

Pouvoirs de l'autorité de contrôle - Pouvoir d'ordonner l'effacement de données personnelles traitées illicitement - Incidence du mode de collecte (direct ou indirect) - Absence

Extrait(s) pertinent(s)53. Eu égard aux considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 58, paragraphe 2, du RGPD doit être interprété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source.
Article(s) du RGPD Article 58 – Pouvoirs
Fait référence à
Autres informations

Références

Cette décision cite...

> CJUE – Bundesrepublik Deutschland (Boîte électronique judiciaire) – C-60/22

4 mai 2023

> CJUE – Meta Platforms Ireland – C-319/20

28 avril 2022

> CJUE – La Quadrature du Net e.a. – C-511/18, C-512/18 et C-520/18

6 octobre 2020

> CJUE – Schrems II (Facebook Ireland et Schrems) – C-311/18

16 juillet 2020

Cette décision est citée par...

> CJUE – Land Hessen (Obligation d’agir de l’autorité de protection des données) – C-768/21

26 septembre 2024

Signaler une erreur / Faire une suggestion