Mi-mars, une plainte a été déposée par noyb, une organisation de protection de la vie privée, à l’encontre de MrKoll, un important courtier en données suédois. Cette plainte découle d’une lacune dans la législation suédoise qui permet aux grands courtiers de données de se soustraire à toute obligation découlant du RGPD, portant ainsi atteinte au droit fondamental à la vie privée de millions de Suédois.

La plainte de noyb a été adressée à l’autorité suédoise de protection des données, mettant en lumière les pratiques de MrKoll. Ce dernier collecte des informations sur l’ensemble de la population suédoise auprès des autorités publiques, les organise de manière accessible, pour ensuite les vendre à toute personne intéressée. Les données vendues comprennent une multitude d’informations, telles que les noms, prénoms, dates de naissance, numéros de téléphone, adresses du domicile et du lieu de travail ainsi que des détails sur la valeur des biens immobiliers, la voiture conduite, les procédures civiles en cours, les sanctions et les casiers judiciaires.

Ces pratiques sont rendues possible par l’article 85 du RGPD ainsi que article 7 de la Loi 2018 :218 implémentant le RGPD dans la système juridique suédois, qui met en œuvre la prérogative découlant de l’article 85 du RGPD en vue de promouvoir la liberté d’expression.

L’article 85, §2 du RGPD prévoit que

« Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations [aux chapitres II à VII et IX] si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information. ».

Il convient également de se référer aux articles 1 :4(d) et 1 :5 de la Loi fondamentale suédoise sur la liberté d’expression qui permettent à presque toute personne qui le souhaite d’obtenir une licence de média et d’ainsi être exempté des obligations du RGPD, sans égard à la finalité du traitement des données.

Étant donné que MrKoll ne propose ni ne prétend proposer des documents académiques, des œuvres d’art ou de littérature, noyb soutient qu’il ne peut se prévaloir que du journalisme comme fondement pour sa prétendue « exemption ». Cependant, d’après le plaignant, qui invoque la jurisprudence Von Hannover v. Germany (§65), MrKoll ne tombe pas sous la définition de journalisme.

« That clarified, the information on MrKoll and, more generally, its business model, plainly fall outside the definition of “journalism”. »

Cette licence média, conçue à l’origine pour promouvoir la liberté d’expression et d’information, pose problème selon noyb car elle est exploitée par des entreprises telles que MrKoll, dont les modèles économiques n’ont aucun lien avec le journalisme.

En effet, Stefano Rossetti, avocat spécialisée en protection des données précise que

« Le modèle commercial des courtiers en données tels que MrKoll n’a rien à voir avec le journalisme. Au contraire, l’entreprise met les gens en danger en proposant leurs données personnelles à la vente en ligne à toute personne intéressée. Les autorités suédoises doivent enfin mettre fin à cet abus d’une loi initialement destinée à protéger les journalistes.».

Compte tenu de ce qui précède, noyb appelle à une action de l’autorité suédoise de protection des données de ne pas appliquer les dispositions de la loi suédoise lorsqu’elles permettent à des entités non journalistiques telles que MrKoll de contourner le RGPD. Noyb souligne également l’importance d’une application stricte du RGPD pour protéger les droits fondamentaux des citoyens à la vie privée et à la protection des données à caractère personnel.

« The articles of the [Fundamental Law on Freedom of Expression] that allow MrKoll to operate in this way are contrary to the EU Charter of Fundamental Rights and the GDPR. They must therefore be disapplied by virtue of the principle of primacy of EU law. »

En particulier, l’autorité suédoise de protection des données devrait, selon noyb, vérifier que le titulaire d’une licence média ne s’engage, lors du traitement des données personnelles, que dans des activités journalistiques. Si le titulaire ne peut pas prouver cela, alors l’autorité suédoise de protection des données ne devrait pas octroyer de licence.

Par ailleurs, noyb affirme que, étant donné que le RGPD est applicable, MrKoll viole plusieurs de ses dispositions, à savoir les articles 6(1), 10, 14, et 17.

Concernant l’article 6(1), noyb soulève que MrKoll ne fournit aucune information sur le traitement des données à caractère personnel, ce qui rend impossible de déterminer la base de licéité sur laquelle il s’appuie. En conséquence, noyb en conclut que MrKoll ne justifie pas légalement le traitement des données, ce qui constitue une violation du RGPD.

En ce qui concerne l’article 10, MrKoll permet à quiconque, moyennant paiement, d’accéder à la liste complète des condamnations criminelles et des dossiers judiciaires des citoyens suédois. Ce faisant, il traite des données personnelles relatives aux condamnations criminelles et aux infractions, une activité qui, en vertu de l’article 10 du RGPD, ne peut être effectuée que sous le contrôle des autorités publiques.

Ensuite, conformément à l’article 14, tout responsable de traitement doit informer la personne concernée de diverses informations relatives au traitement de ses données personnelles. Or, selon noyb, MrKoll omet de le faire.

Finalement, noyb précise que MrKoll a refusé de supprimer des données à caractère personnel sous prétexte que le RGPD ne s’applique pas, ce qui constitue une violation de l’article 17.

Sur base de tous ces éléments, noyb exige que MrKoll efface toutes les données le concernant et qu’il informe tous les destinataires de la suppression de ces données. De plus, ils demandent à l’autorité suédoise de protection des données d’imposer une interdiction totale de tout traitement ultérieur de leurs données.

En conclusion, nous partageons l’avis de Sophia Hassel, avocate stagiaire chez noyb selon qui

« L’affaire MrKoll montre pourquoi il existe des limites strictes lorsque les États membres veulent s’écarter du GDPR. Donner carte blanche aux courtiers en données pour ignorer la législation de l’UE devrait être clairement considéré comme un pas de trop. ».

Il revient par conséquent selon nous à l’autorité suédoise de protection des données de limiter l’octroi d’une licence média aux seules fins journalistiques.