| CELEX | 62022CJ0231_RES |
| Type | Jurisprudence CJUE |
| Date | jeudi 11 janvier 2024 |
Affaire C‑231/22
État belge
contre
Autorité de protection des données
(demande de décision préjudicielle, introduite par la Cour d’appel de Bruxelles)
Arrêt de la Cour (troisième chambre) du 11 janvier 2024
« Renvoi préjudiciel – Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données (règlement général sur la protection des données) – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Journal officiel d’un État membre – Obligation de publier tels quels des actes de sociétés préparés par ces dernières ou leurs représentants légaux – Article 5, paragraphe 2 – Traitement successif, par plusieurs personnes ou entités distinctes, des données à caractère personnel figurant dans de tels actes – Détermination des responsabilités »
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de responsable du traitement – Journal officiel d’un État membre assurant la publication des actes et des documents officiels préparés par des tiers et n’ayant pas de pouvoir de contrôle sur leur contenu – Inclusion – Condition – Détermination des finalités et des moyens du traitement des données à caractère personnel par ce Journal officiel dans le droit national – Modalités – Absence d’incidence du défaut de personnalité juridique
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7)
(voir points 28, 30, 34-39, disp. 1)
Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Principes relatifs au traitement – Détermination des responsables du respect de ces principes en cas de traitement successif des mêmes données – Responsabilité du Journal officiel d’un État membre assurant la publication des actes et des documents officiels préparés par des tiers et ayant la qualité de responsable du traitement – Portée – Responsabilité individuelle du Journal officiel – Responsabilité conjointe avec d’autres entités – Condition – Détermination des finalités et des moyens unissant les différentes opérations de traitement ainsi que des obligations respectives des responsables conjoints du traitement dans le droit national – Modalités
(Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7, 5, § 1 et 2, et 26, § 1)
(voir points 42-45, 49, 50, 52, disp. 2)
Résumé
Saisie à titre préjudiciel par la cour d’appel de Bruxelles (Belgique), la Cour précise, d’une part, les contours de la notion de « responsable du traitement » et, d’autre part, les limites des obligations d’un responsable du traitement, lorsque des traitements portant sur les mêmes données à caractère personnel sont effectués par des entités successives.
Le 12 février 2019, le Moniteur belge, qui assure en Belgique la production et la diffusion d’un large éventail de publications officielles et publiques sur papier et par voie électronique, a publié un extrait d’une décision d’une société portant sur une réduction de son capital. Cet extrait, rédigé par le notaire d’un associé de la société et transmis au tribunal compétent, lequel l’a, à son tour, communiqué pour publication à la direction de ce journal officiel, contenait des données à caractère personnel de cet associé.
Après avoir constaté que le passage où figuraient ses données avait été inclus dans l’extrait à la suite d’une erreur commise par le notaire, la personne concernée a demandé sa suppression sur le fondement de son droit à l’effacement ( 1 ). Toutefois, sa demande a été rejetée par le service public fédéral Justice (ci-après le « SPF Justice »), auquel la direction du Moniteur belge est rattachée. À la suite de ce rejet, cette personne a déposé une plainte contre le SPF Justice auprès de l’Autorité de protection des données (Belgique) (ci-après l’« APD »). Par décision du 23 mars 2021, l’APD a enjoint au SPF Justice de donner suite à la demande d’effacement dans les meilleurs délais. L’État belge a alors saisi la cour d’appel de Bruxelles en vue d’obtenir l’annulation de la décision de l’APD.
Dans ce contexte, la cour d’appel de Bruxelles a interrogé la Cour sur les questions de savoir si le Moniteur belge peut être qualifié de « responsable du traitement » ( 2 ) et s’il doit être tenu pour seul responsable du respect des principes relatifs au traitement des données ( 3 ) ou bien si cette responsabilité incombe aussi cumulativement aux entités qui ont traité en amont les données figurant dans le passage concerné.
Appréciation de la Cour
En premier lieu, quant à la question de savoir si le service ou l’organisme chargé du Journal officiel d’un État membre tel que le Moniteur belge peut être qualifié de « responsable du traitement » au sens du RGPD, la Cour précise que, eu égard à la définition large de cette notion, la détermination des finalités et des moyens du traitement ainsi que, le cas échéant, la désignation du responsable du traitement par le droit national peuvent être non seulement explicites, mais également implicites. Dans ce dernier cas de figure, il est néanmoins requis que cette détermination découle de manière suffisamment certaine du rôle, de la mission et des attributions dévolus au service ou à l’organisme concerné.
La Cour constate que, en l’occurrence, le droit belge a déterminé, à tout le moins implicitement, les finalités et les moyens du traitement des données à caractère personnel effectué par le Moniteur belge. Il en résulte que ce dernier peut être considéré comme étant le « responsable du traitement ».
La Cour souligne que cette conclusion n’est remise en cause ni par la circonstance que le Moniteur belge n’est pas doté de la personnalité juridique ni par le fait que, en vertu du droit national, il ne contrôle pas, avant leur publication, les données à caractère personnel figurant dans les actes et les documents qu’il reçoit.
S’il est vrai que cet organisme doit publier le document concerné tel quel, c’est lui seul qui assume cette tâche et diffuse ensuite l’acte ou le document concerné. D’une part, la publication de tels actes et de tels documents sans possibilité de contrôle ni de modification de leur contenu est intrinsèquement liée aux finalités et aux moyens du traitement déterminés par le droit national. En effet, le rôle de ce Journal officiel se limite à informer le public de l’existence de ces actes et de ces documents, tels qu’ils lui sont transmis sous la forme de copie conformément au droit national applicable, de manière à les rendre opposables aux tiers. D’autre part, il serait contraire à l’objectif de l’article 4, point 7, du RGPD d’exclure de la notion de « responsable du traitement » le Journal officiel d’un État membre au motif que ce dernier n’exerce pas de contrôle sur les données à caractère personnel figurant dans ses publications.
En second lieu, s’agissant de la question de savoir si un organisme tel que le Moniteur belge doit être tenu pour seul responsable du respect des principes relatifs au traitement des données à caractère personnel visés par le RGPD ( 4 ), la Cour observe que le traitement confié au Moniteur belge est à la fois postérieur au traitement effectué par le notaire et par le greffe du tribunal compétent et techniquement différent du traitement effectué par ces deux entités en ce qu’il vient s’y ajouter. En effet, les opérations effectuées par le Moniteur belge lui sont confiées par la législation nationale et impliquent notamment la transformation numérique des données figurant dans les actes ou les extraits d’actes qui lui sont soumis, la publication de celles-ci, leur mise à disposition à un large public ainsi que leur conservation. Dès lors, il doit être considéré comme étant responsable du respect de l’ensemble des obligations imposées au responsable du traitement par le RGPD.
En outre, la Cour rappelle que l’article 4, point 7, du RGPD prévoit non seulement que les finalités et les moyens d’un traitement de données à caractère personnel peuvent être déterminés conjointement par plusieurs personnes en tant que responsables du traitement, mais également que le droit national peut déterminer ces finalités et ces moyens et désigner le responsable du traitement ou les critères spécifiques applicables à sa désignation. Ainsi, dans le cadre d’une chaîne de traitements opérés par différentes personnes ou entités et portant sur les mêmes données à caractère personnel, le droit national peut déterminer les finalités et les moyens de l’ensemble des traitements opérés successivement par ces différentes personnes ou entités de manière à ce que celles-ci soient conjointement tenues pour responsables du traitement.
La Cour souligne que, en vertu du RGPD ( 5 ), la responsabilité conjointe de plusieurs acteurs d’une chaîne de traitements portant sur les mêmes données à caractère personnel peut être établie par le droit national pour autant que les différentes opérations de traitement soient unies par des finalités et des moyens déterminés par ce droit et que celui-ci définisse les obligations respectives de chacun des responsables conjoints du traitement. Une telle détermination des finalités et des moyens unissant les différents traitements opérés par plusieurs acteurs d’une chaîne ainsi que des obligations respectives de ceux-ci peut être effectuée non seulement de manière directe, mais également de manière indirecte par le droit national, à condition, dans ce dernier cas de figure, qu’elle puisse se déduire de manière suffisamment explicite des dispositions légales régissant les personnes ou les entités concernées ainsi que le traitement des données à caractère personnel qu’elles opèrent dans le cadre de la chaîne de traitements imposée par ce droit.
Ainsi, la Cour conclut que le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », est seul responsable du respect des principes visés par le RGPD en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit.
( 1 ) Prévu à l’article 17 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
( 2 ) Au sens de l’article 4, point 7, du RGPD.
( 3 ) En vertu de l’article 5, paragraphe 2, du RGPD.
( 4 ) Principes prévus sous la forme d’obligations à l’article 5, paragraphe 1, du RGPD.
( 5 ) Selon la lecture combinée de l’article 26, paragraphe 1, et de l’article 4, point 7, du RGPD.
Affaire C-908/24 P: Pourvoi formé le 31 décembre 2024 par Crescenzio Rivellini contre l’arrêt du Tribunal (cinquième chambre) rendu le 23 octobre 2024 dans l’affaire T-465/23, Rivellini/Parlement européen
31/12/2024
Affaire T-683/24: Recours introduit le 31 décembre 2024 – Green Asset/EUIPO – Domitys (hômity)
31/12/2024
Affaire C-906/24, Sirto: Demande de décision préjudicielle présentée par le Korkein hallinto-oikeus (Finlande) le 31 décembre 2024 – A e.a.
31/12/2024
Affaire T-684/24: Recours introduit le 30 décembre 2024 – Tone Watch/EUIPO – Munich (MUNICH10A.T.M.)
30/12/2024