La jurisprudence comme base légale des traitements de données personnelles : Une nouvelle interprétation de la CJUE

Contexte et principes fondamentaux

L'article 6 du RGPD définit six bases légales permettant de justifier un traitement de données personnelles. Parmi celles-ci, l'obligation légale constitue un fondement majeur, devant être définie par le droit de l'Union ou le droit national. Cette obligation doit répondre à un objectif d'intérêt public et respecter le principe de proportionnalité.

L'évolution jurisprudentielle : Une interprétation extensive de l'obligation légale

La CJUE vient d'étendre la notion d'obligation légale en y incluant la jurisprudence nationale. Cette décision novatrice pose toutefois des conditions strictes : la jurisprudence doit être claire, précise et prévisible pour les justiciables. Cette extension ouvre de nouvelles perspectives tout en soulevant des questions pratiques importantes.

Implications pratiques pour les responsables de traitement

Cette évolution jurisprudentielle impacte directement la conformité RGPD des organisations. Les responsables de traitement doivent désormais intégrer la jurisprudence dans leur analyse des bases légales, tout en restant vigilants sur les critères d'application.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser une veille jurisprudentielle active en matière de protection des données

• Mettre à jour la documentation relative aux bases légales des traitements

• Renforcer l'analyse d'impact pour les traitements fondés sur la jurisprudence

• Documenter précisément le raisonnement juridique justifiant le recours à la jurisprudence comme base légale