Blogosfera Navas & Cusí

Nuestro bufete de abogados Navas & Cusí con sedes en Madrid y Barcelona posee carácter multidisciplinar y con una vocación internacional (sede en Bruselas), está especializado en derecho bancario , financiero y mercantil.
Nous contacter
Pour garantir une qualité et une attention personnalisée, nous servons sur rendez-vous préalable en personne ou par vidéoconférence. Nous ne travaillons pas pour obtenir des résultats.
Madrid
+34 915 76 11 50
Barcelone
+34 934 87 97 11
Bruxelles
+32 227 301 54
Shanghai
+34 915 76 11 50
Miami
+34 915 76 11 50
Droit Communautaire et droit de l union euripéene

Décisions plus strictes de la CJUE : vers une nouvelle interprétation du RGPD

19 June, 2025
La jurisprudence de la Cour de justice de l’Union européenne (CJUE) a connu une avancée décisive en 2024, en proposant une interprétation plus rigoureuse du principe de minimisation des données prévu à l’article 5.1.c) du RGPD. Dans l’arrêt C-446/21 du 4 octobre 2024, dans l’affaire Maximilian Schrems contre Meta Platforms Ireland, la Cour a rappelé que le seul consentement ne suffit pas à justifier la conservation illimitée de données personnelles par les plateformes numériques, même à des fins publicitaires. Une telle pratique constitue une “atteinte disproportionnée” aux droits fondamentaux de la personne concernée. Il est désormais clair que le consentement doit être accompagné de mécanismes de suppression temporelle adéquats et d’un traitement différencié selon le type de données. Cette exigence s’applique à toute entité traitant des données à des fins publicitaires ciblées, bien au-delà du cas de Meta.L’arrêt traite également d’un cas emblématique concernant le traitement de données sensibles, en particulier l’orientation sexuelle. Bien que M. Schrems ait rendu publique son orientation dans un forum, la Cour a estimé que cela ne constituait pas un consentement valable permettant à Meta de collecter d’autres données sensibles via des cookies, réseaux affiliés ou comportements hors ligne. Cette position confirme une application stricte de l’article 9 du RGPD, exigeant un consentement explicite et spécifique, ne pouvant être déduit d’une simple exposition publique.

L’intérêt légitime comme base juridique : vers un modèle structuré

Parallèlement à cette rigueur accrue sur la minimisation, la CJUE a approfondi le concept d’intérêt légitime (article 6.1.f RGPD). Moins médiatisée, cette évolution a pourtant un impact pratique important. Dans l’affaire C-621/22, concernant une association sportive utilisant les données de ses membres à des fins publicitaires, la Cour a conclu que l’intérêt légitime peut justifier le traitement sans consentement explicite, à condition de passer un test de proportionnalité rigoureux : la base doit être légale, nécessaire et proportionnée, en tenant compte de la nature des données, du contexte relationnel et des attentes raisonnables de vie privée. Ce cadre impose aux responsables du traitement de documenter chaque cas avec précision en analysant l’impact réel sur les droits des personnes concernées.

Ce double prisme — minimisation stricte et intérêt légitime rigoureusement encadré — oblige les responsables à formaliser leur légitimité à travers des protocoles internes robustes, incluant des cartographies de traitement, des durées de conservation limitées et des justifications tangibles de la nécessité du traitement. La jurisprudence de la CJUE resserre ainsi l’usage des données personnelles sans pour autant bloquer l’activité économique, tant que les conditions sont raisonnables et documentées.

Droit à l’oubli numérique : vers une protection active

Depuis l’arrêt fondateur “Google Spain” (C-131/12, 2014) et la précision territoriale dans “Google France” (C-507/17, 2019), le droit à l’oubli s’est progressivement étendu. Le dernier tournant majeur est l’arrêt C-460/20 du 8 décembre 2022, rendu par la Grande Chambre de la CJUE, qui renforce la protection des personnes face à la persistance de contenus inexacts ou préjudiciables indexés par les moteurs de recherche.

L’apport majeur de cet arrêt est qu’il n’est pas nécessaire d’avoir une décision judiciaire définitive pour demander la suppression de liens renvoyant à des contenus manifestement faux. Le demandeur doit fournir des éléments de preuve raisonnables et vérifiables, mais c’est au moteur de recherche d’évaluer de manière autonome et équilibrée les droits de la personne face à l’intérêt public éventuel.

Jusqu’à présent, dans la pratique, Google refusait souvent les demandes de déréférencement en l’absence de jugement. Cette approche, qui déléguait tout au pouvoir judiciaire, est désormais rejetée par la CJUE. Les plateformes doivent analyser la demande de manière motivée sur la base des pièces fournies.

Cela renforce la portée de l’article 17 du RGPD : le droit à l’oubli couvre aussi les données inexactes, incomplètes ou non vérifiables. La Cour insiste également sur l’effet des thumbnails (images associées), reconnaissant leur potentiel d’aggravation de l’atteinte aux droits. Les moteurs de recherche doivent donc les supprimer ou limiter leur affichage quand elles accentuent le préjudice.

Ce changement jurisprudentiel transforme la pratique : les arguments juridiques invoqués devant les moteurs de recherche ne peuvent plus être écartés faute de jugement préalable. Cela renforce les droits des citoyens et valorise le rôle des avocats dans la défense des droits numériques.

Cadre technique et documentaire : droits et obligations des responsables

La jurisprudence récente impose des exigences concrètes qui dépassent l’interprétation formelle du RGPD. Les responsables doivent mettre en œuvre un programme actif de minimisation, incluant des protocoles de suppression automatique, des révisions périodiques et un traitement différencié des données sensibles selon l’article 9. Par ailleurs, les bases juridiques invoquées doivent être justifiées par une documentation rigoureuse, avec des analyses de proportionnalité face aux droits des personnes.

Les tribunaux exigent également des procédures internes pour traiter les demandes de droit à l’oubli, portant sur les liens, images et métadonnées. Même si la charge de preuve revient majoritairement à la personne concernée, les moteurs de recherche doivent procéder à une évaluation motivée et équilibrée, et disposer d’outils techniques garantissant le blocage dans l’espace européen.

Vers une approche juridique exigeante et technologique

La jurisprudence de la CJUE impose un modèle de protection des données alliant rigueur juridique et solutions techniques. Les responsables doivent supprimer activement les données inutiles, documenter leurs analyses de consentement et d’intérêt légitime, et répondre efficacement aux demandes de suppression de liens ou d’images. Techniquement, il est essentiel de prévoir des systèmes de blocage territorial et de traçabilité.

Ce durcissement entraîne une complexité accrue et une exigence de documentation renforcée, mais aussi un gain de confiance pour les citoyens. Le rôle des juristes est d’équiper les organisations avec des outils de conformité permettant de prouver l’application effective du RGPD.

Dans ce contexte, un accompagnement juridique spécialisé est indispensable pour garantir la conformité et défendre efficacement les droits numériques. Chez Navas&Cusí, vous pouvez faire appel à un avocat expert en droit communautaire pour vous conseiller dans tout litige lié au RGPD et à la jurisprudence européenne. Notre équipe conjugue expertise juridique et vision technologique pour vous proposer des solutions adaptées. Faites confiance à des professionnels expérimentés devant la CJUE.

Author
Navas & Cusí Abogados
LinkedIn
Artículo anterior Artículo siguiente