Arrêt CJUE62023CC0169

Conclusions de l'avocat général Mme L. Medina, présentées le 6 juin 2024.#Nemzeti Adatvédelmi és Információszabadság Hatóság contre UC.#Demande de décision préjudicielle, introduite par la Kúria.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données – Règlement (UE) 2016/679 – Données traitées lors de l’établissement d’un certificat COVID-19 – Données n’ayant pas été collectées auprès de la personne concernée – Informations à fournir – Exception à l’obligation d’information – Article 14, paragraphe 5, sous c) – Données générées par le responsable du traitement dans le cadre de son propre processus – Droit de réclamation – Compétence de l’autorité de contrôle – Article 77, paragraphe 1 – Mesures appropriées visant à protéger les intérêts légitimes de la personne concernée prévues par le droit de l’État membre auquel le responsable du traitement est soumis – Mesures visant la sécurité du traitement des données – Article 32.#Affaire C-169/23.

CELEX	62023CC0169
Type	Arrêt CJUE
Date	jeudi 6 juin 2024

Résumé IA

Cet avis de l'avocat général concerne l'interprétation des obligations d'information du responsable du traitement lorsque les données personnelles (ici, pour un certificat COVID) n'ont pas été collectées directement auprès de la personne concernée. Il examine notamment les exceptions prévues à l'article 14 du RGPD, en particulier lorsque les données sont générées par le responsable du traitement lui-même, ainsi que les modalités d'exercice du droit de réclamation et les mesures de sécurité appropriées.

Texte intégral

CONCLUSIONS DE L’AVOCATE GÉNÉRALE

MME LAILA MEDINA

présentées le 6 juin 2024 ( 1 )

Affaire C-169/23 [Másdi] ( i )

Nemzeti Adatvédelmi és Információszabadság Hatóság

contre

[demande de décision préjudicielle formée par la Kúria (Cour suprême, Hongrie)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Traitement des données aux fins de la délivrance d’un certificat COVID-19 – Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée – Article 14, paragraphe 1 – Dérogations à l’obligation d’information – Obtention ou communication expressément prévues par le droit de l’Union ou le droit d’un État membre – Mesures appropriées visant à protéger les intérêts légitimes de la personne concernée – Article 14, paragraphe 5, sous c) – Droit d’introduire une réclamation auprès d’une autorité de contrôle – Article 77 »

I. Introduction

L’une des obligations les plus importantes incombant au responsable du traitement est de fournir des informations à la personne concernée. C’est ce que M. l’avocat général Cruz Villalón a indiqué en des termes éloquents dans ses conclusions dans l’affaire Bara e.a., en affirmant que l’exigence d’information de la personne concernée « garantit la transparence de tout traitement » ( 2 ). L’obligation d’information correspond à un droit essentiel de la personne concernée d’obtenir des informations sur le traitement des données qui la concernent. La doctrine observe ( 3 ) que le droit à l’information « illustre » le principe de transparence et « constitue le creuset » de tous les autres droits. En effet, des exigences d’information étendues permettent à la personne concernée d’exercer d’autres droits importants reconnus par le règlement (UE) 2016/679 ( 4 ).

La présente affaire s’inscrit dans le contexte de la délivrance de certificats COVID-19. Elle invite la Cour, pour la première fois, à interpréter une dérogation importante à l’obligation d’information incombant au responsable du traitement, prévue à l’article 14, paragraphe 5, sous c), du RGPD. La dérogation en cause sera analysée eu égard aux pouvoirs de l’autorité de contrôle dans le cadre d’une réclamation introduite par la personne concernée.

II. Le cadre juridique

A. Le droit de l’Union

L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, aux paragraphes 1, 2 et 5 :

« 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

a)	l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b)	le cas échéant, les coordonnées du délégué à la protection des données ;

c)	les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d)	les catégories de données à caractère personnel concernées ;

e)	le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission [européenne] [...]

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée :

a)	la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b)	lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;

d)	lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

e)	le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

f)	la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;

g)	l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous‑jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

[...]

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

[...]

c)	l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;

[...] »

L’article 32 du RGPD, intitulé « Sécurité du traitement », énonce, à son paragraphe 1 :

« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque [...]

[...] »

L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

B. Le droit hongrois

L’article 2, paragraphe 1, sous a) à g), de l’a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [décret gouvernemental 60/2021 (II.12.), du 12 février 2021, relatif à la preuve de l’immunité contre le coronavirus ; ci-après le « décret 60/2021 »], dans sa version applicable au litige au principal, prévoit « Le certificat d’immunité inclut :

« Le certificat d’immunité inclut :

a)	le nom de la personne concernée,

b)	le numéro du passeport de la personne concernée, le cas échéant,

c)	le numéro de la carte d’identité permanente de la personne concernée, le cas échéant,

d)	le numéro de série du certificat d’immunité,

e)	en cas de preuve de vaccination, la date de la vaccination,

f)	en cas de preuve de guérison d’une infection, la date d’expiration de la validité du certificat,

g)	un code formé à partir des données visées sous a) à f), lisible optiquement par un dispositif informatique,

[...] »

En vertu de l’article 2, paragraphes 6 et 7, du décret 60/2021, le certificat d’immunité devait être délivré à la personne physique habilitée à le recevoir par le Budapest Főváros Kormányhivatal [(services administratifs de Budapest-Capitale, Hongrie, ci-après l’« administration de Budapest »)], soit d’office, soit sur demande.

L’article 3, paragraphe 3, du décret 60/2021 dispose :

« Par transmission automatique d’informations, le cas échéant par le biais des services de l’összerendelési nyilvántartás [répertoire électronique combiné des données d’identification], [l’administration de Budapest] – dans le cas visé à l’article 2, paragraphe 6, sous c) et d) – reprend

auprès de l’exploitant de la plate-forme EESZT [Elektronikus Egészségügyi Szolgáltatási Tér (Plateforme électronique des services de santé)], le numéro de sécurité sociale de la personne concernée, les données visées à l’article 2, paragraphe 1, sous e) et g), ainsi que les données visées au paragraphe 1,

b)	auprès de l’organisme qui tient le registre des données à caractère personnel et des adresses, le nom de la personne concernée, le numéro ou identifiant de son passeport et de sa carte d’identité permanente, ainsi que son adresse. »

III. Le litige au principal et les questions préjudicielles

9.	UC, une personne physique, a reçu de l’administration de Budapest un certificat d’immunité confirmant sa vaccination contre la COVID-19.

10.

Le 30 avril 2021, sur la base de l’article 77, paragraphe 1, du RGPD, UC a introduit une réclamation auprès de la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorité nationale chargée de la protection des données et de la liberté d’information, Hongrie, ci-après l’« autorité de contrôle hongroise »). Il a demandé à cette autorité d’ordonner à l’administration de Budapest de mettre ses opérations de traitement en conformité avec les dispositions du RGPD. Dans la réclamation, UC a entre autres reproché à l’administration de Budapest de ne pas avoir rédigé ni publié d’avis de confidentialité relatif à la protection des données afférentes à la délivrance des certificats d’immunité, en faisant valoir qu’il n’y avait pas d’informations suffisantes sur la finalité et la base juridique du traitement, ainsi que sur les droits de la personne concernée et la manière dont ils pouvaient être exercés.

11.

Dans le cadre de la procédure engagée sur la base de la réclamation, l’administration de Budapest a déclaré qu’elle exécutait ses tâches liées à la délivrance du certificat d’immunité sur le fondement de l’article 2 du décret 60/2021 et que la base juridique du traitement était l’article 6, paragraphe 1, sous e), du RGPD et, pour ce qui était de la catégorie particulière de données à caractère personnel concernée, l’article 9, paragraphe 2, sous i), du RGPD.

12.

En outre, l’administration de Budapest a déclaré que, en application de l’article 3, paragraphes 2 et 3, du décret 60/2021, elle avait collecté par transmission automatique d’informations les données traitées auprès de l’exploitant de la plateforme électronique de services de santé et de l’organisme chargé de la tenue du registre des données à caractère personnel et des adresses. Elle a ajouté que, en vertu de l’article 14, paragraphe 5, sous c), du RGPD, elle n’était pas obligée de fournir des informations sur le traitement de données. Cela étant, elle avait rédigé un avis de confidentialité sur le traitement concerné et l’avait publié sur son site Internet.

13.

Par décision du 15 novembre 2021, l’autorité de contrôle hongroise a rejeté la réclamation au motif que l’administration de Budapest n’était pas tenue de fournir des informations, étant donné que le traitement relevait de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD. Plus précisément, cette autorité de contrôle a considéré que le décret 60/2021 constituait la base juridique du traitement et que l’administration de Budapest n’avait pas obtenu les données auprès des personnes concernées elles-mêmes. En outre, elle a indiqué que l’article 3, paragraphe 1, du décret 60/2021 imposait expressément à l’administration de Budapest de collecter les données. Elle a considéré comme relevant d’une bonne pratique le fait que l’administration de Budapest ait publié des informations relatives au traitement des données sur son site Internet alors qu’elle n’était pas légalement tenue de le faire.

14.

L’autorité de contrôle hongroise a examiné d’office la question des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, au sens de l’article 14, paragraphe 5, sous c), du RGPD, et elle a estimé que les articles 2, 3, 5 et 7 du décret 60/2021 devaient être considérés comme de telles mesures.

15.	UC a contesté la décision de l’autorité de contrôle hongroise devant la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie). Cette juridiction a fait droit au recours, elle a annulé la décision de l’autorité de contrôle hongroise et lui a ordonné de mener une nouvelle procédure.

16.

Dans les motifs de son arrêt, la Fővárosi Törvényszék (cour de Budapest-Capitale) a considéré que la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD n’était pas applicable parce que certaines données en lien avec les certificats d’immunité n’étaient pas collectées auprès d’un autre organisme, mais étaient générées par le responsable du traitement. Il s’agit notamment du numéro de série du certificat d’immunité, de la date d’expiration du certificat, du code QR figurant sur le certificat, du code-barres et d’autres codes alphanumériques générés par le responsable du traitement lors de sa procédure.

17.	L’autorité de contrôle hongroise a formé un pourvoi en cassation contre cet arrêt définitif de la Fővárosi Törvényszék (cour de Budapest-Capitale) devant la Kúria (Cour suprême, Hongrie).

18.

En ce qui concerne l’applicabilité de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD, la juridiction de renvoi considère que celle-ci est susceptible de s’appliquer à tous les types de traitement qui ne concernent pas des données collectées auprès de la personne concernée au sens de l’article 13 du RGPD, y compris les données générées par le responsable du traitement.

19.

S’il convient de retenir cette interprétation de l’article 14, paragraphe 5, sous c), du RGPD, la juridiction de renvoi éprouve des doutes quant à l’étendue des pouvoirs correctifs dont disposent les autorités nationales de contrôle dans le cadre d’une réclamation introduite en vertu de l’article 77, paragraphe 1, du RGPD. Plus précisément, elle se demande si, dans le cadre d’une telle réclamation, l’autorité de contrôle a le pouvoir d’examiner la question des mesures appropriées prévues par le droit national pour protéger les intérêts légitimes de la personne concernée, auxquels l’article 14, paragraphe 5, sous c), du RGPD fait référence.

20.

S’il fallait considérer que l’autorité de contrôle dispose de ce pouvoir, la juridiction de renvoi s’interroge sur le sens exact de la notion de « mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ». À cet égard, elle fait observer qu’il pourrait être constaté que des « mesures appropriées » comprennent, d’une part, l’inclusion dans le droit national des éléments énumérés à l’article 14, paragraphe 1, sous a) à f), du RGPD. D’autre part, ces mesures pourraient impliquer la possibilité de demander que soit examinée la sécurité du traitement régie par l’article 32 du RGPD. Toutefois, cette acception de la notion de « mesures appropriées » risquerait de provoquer une surcharge législative par ajout de règles techniques, ce qui serait contraire à l’exigence d’intelligibilité et de clarté de la législation. Le respect des mesures relatives à la sécurité des données sans que ces mesures aient fait l’objet d’une transposition spécifique pourrait également constituer une garantie suffisante.

21.

Dans ce contexte, la Kúria (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

L’article 14, paragraphe 5, sous c), du [RGPD] doit-il être interprété – compte tenu de l’article 14, paragraphe 1, et du considérant 62 du RGPD – en ce sens que l’exception que cette disposition prévoit ne s’applique pas aux données générées par le responsable du traitement dans le cadre de son propre processus, mais uniquement aux données que le responsable du traitement a spécifiquement collectées auprès d’une autre personne ?

Si l’article 14, paragraphe 5, sous c), du RGPD s’applique également aux données générées par le responsable du traitement dans le cadre de son propre processus, l’article 77, paragraphe 1, du RGPD, qui régit le droit d’introduire une réclamation auprès d’une autorité de contrôle, doit-il être interprété en ce sens qu’une personne physique invoquant une violation de l’obligation d’information peut, dans le cadre de l’exercice de son droit d’introduire une réclamation, également demander que soit examinée la question de savoir si le droit de l’État membre, visé à l’article 14, paragraphe 5, sous c), du RGPD, prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ?

En cas de réponse affirmative à la deuxième question, l’article 14, paragraphe 5, sous c), du RGPD peut-il être interprété en ce sens que les “mesures appropriées” auxquelles celui-ci fait référence exigent une transposition (dans la règle de droit), par le législateur national, des mesures de sécurité des données visées à l’article 32 du RGPD ? »

22.

Des observations écrites ont été déposées par UC, l’autorité de contrôle hongroise, le gouvernement hongrois ainsi que par la Commission. La Cour a adressé des questions pour réponse écrite aux parties et aux parties intéressées conformément à l’article 23 du statut de la Cour de justice de l’Union européenne, auxquelles UC, le gouvernement hongrois, le gouvernement tchèque et la Commission ont répondu.

IV. Analyse

A. Observations liminaires sur l’obligation d’information et la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD

23.

La communication d’informations aux personnes concernées est un élément central du principe de transparence énoncé à l’article 5, paragraphe 1, sous a), du RGPD. La transparence « permet aux personnes concernées [...] d’exiger des responsables du traitement et des sous-traitants responsables qu’ils rendent des comptes » en ce qu’elle renforce leur possibilité de contrôler leurs données ( 5 ). En effet, comme il ressort de l’arrêt Bara e.a., l’« exigence d’information des personnes concernées par le traitement de leurs données personnelles est d’autant plus importante qu’elle est une condition nécessaire à l’exercice par ces personnes de leur droit d’accès et de rectification des données traitées » ( 6 ). Les dispositions essentielles à cet égard sont les articles 12, 13 et 14 du RGPD.

24.

En vertu de l’article 12, paragraphe 1, du RGPD, le responsable du traitement doit prendre les mesures appropriées pour fournir toute information visée aux articles 13 et 14 du RGPD « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ». Généralement, les informations sont communiquées dans une politique de confidentialité, un avis de confidentialité ou une déclaration de confidentialité ( 7 ).

25.

Le contenu et la portée de l’obligation d’information sont définis aux articles 13 et 14 du RGPD. L’article 13 du RGPD réglemente les informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (collecte directe), tandis que l’article 14 de ce règlement prévoit les informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (collecte indirecte) ( 8 ). Les informations à fournir au titre de ces deux dispositions se recoupent sensiblement ( 9 ).

26.

En ce qui concerne la collecte indirecte de données, l’article 14, paragraphe 1, du RGPD inclut dans le « catalogue d’informations standard » ( 10 ) les informations relatives à l’identité du responsable du traitement, aux finalités du traitement, aux destinataires des données et au transfert éventuel des données à un destinataire dans un pays tiers. Parmi les informations supplémentaires nécessaires pour garantir un traitement équitable et transparent, l’article 14, paragraphe 2, du RGPD fait expressément référence à la durée pendant laquelle les données à caractère personnel seront conservées, aux intérêts légitimes poursuivis par le responsable du traitement ( 11 ) ou à l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci.

27.

L’obligation d’information qui incombe au responsable du traitement en cas de collecte indirecte en vertu de l’article 14 du RGPD fait l’objet de quatre dérogations, qui sont énoncées au paragraphe 5 de cet article. La dérogation pertinente pour l’affaire au principal est celle prévue à l’article 14, paragraphe 5, sous c), de ce règlement qui contient une « clause d’ouverture » ( 12 ). Le responsable du traitement est dispensé de fournir des informations lorsque et dans la mesure où « l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis » et que ce droit prévoit « des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ».

28.

La version en langue anglaise de l’article 14, paragraphe 5, sous c), du RGPD, de même que d’autres versions linguistiques ( 13 ), ne fait pas expressément référence à l’objet de l’« obtention ou [de] la communication ». Un certain nombre d’autres versions linguistiques font explicitement référence à l’obtention ou à la communication des « données » ( 14 ). Il apparaît que seule la version en langue française fait référence à l’obtention ou à la communication des « informations » ( 15 ).

29.

Toutefois, toutes les versions linguistiques d’un acte de l’Union devant, en principe, se voir reconnaître la même valeur, en cas de disparités entre ces versions, la disposition en cause doit être interprétée en fonction de l’économie générale et de la finalité de la réglementation dont elle constitue un élément ( 16 ).

30.

À cet égard, il ressort de l’économie générale de la réglementation dont l’article 14, paragraphe 5, sous c), du RGPD constitue un élément que l’obtention ou la communication concernent les données à caractère personnel (et non les informations). Il ressort déjà de l’intitulé de l’article 14 de ce règlement que les informations sont « fournies », alors que l’acte d’obtention concerne les « données à caractère personnel ». Cette interprétation est corroborée par le considérant 61 du RGPD, qui fait référence aux « données à caractère personnel » obtenues d’une autre source, et par le considérant 62 de ce règlement, qui vise l’enregistrement ou la communication des « données à caractère personnel ». En outre, compte tenu de la portée large de la notion de « traitement » au sens de l’article 4, point 2, du RGPD, à savoir toute opération ou tout ensemble d’opérations appliquées à des données à caractère personnel ( 17 ), l’« obtention ou la communication » doivent être qualifiées d’« opérations de traitement appliquées à des données à caractère personnel ».

31.

En ce qui concerne la finalité de la réglementation dont l’article 14, paragraphe 5, sous c), du RGPD constitue un élément, la prémisse sous-jacente de la dérogation en cause semble être que le droit de l’Union ou le droit de l’État membre remplace ou se substitue à l’obligation normalement imposée au responsable du traitement de fournir des informations concernant l’obtention ou la communication des données ( 18 ). En vertu du droit pertinent, les personnes concernées auront déjà une connaissance suffisante de l’obtention ou de la communication des données ( 19 ). Un tel droit auquel le responsable du traitement est soumis doit expressément concerner l’obtention ou la communication des données et l’obtention ou la communication en question devraient être obligatoires pour le responsable du traitement ( 20 ).

32.	Par conséquent, il s’ensuit clairement que la dérogation en matière d’obtention ou de communication a pour objet les données à caractère personnel.

33.	C’est à la lumière des observations susmentionnées que je poursuivrai l’examen de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD dans le contexte de l’analyse des questions déférées.

B. Sur la première question préjudicielle

34.

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que la dérogation à l’obligation du responsable du traitement de fournir les informations à la personne concernée s’applique uniquement aux données que le responsable du traitement a spécifiquement collectées auprès d’une autre personne, à l’exclusion des données générées par le responsable du traitement dans le cadre de son propre processus.

35.	Cette question découle du fait que, dans l’affaire au principal, certaines données contenues dans les certificats COVID-19 n’ont pas été obtenues par un autre organisme, mais ont été générées par l’administration de Budapest ( 21 ).

36.	Par conséquent, il convient de déterminer si la notion d’« obtention » figurant à l’article 14, paragraphe 5, sous c), du RGPD exclut les données générées par le responsable du traitement.

37.

Aux fins de répondre à la question susmentionnée, il convient de rappeler, à titre liminaire, que l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie ( 22 ).

38.

S’agissant des termes de l’article 14, paragraphe 5, sous c), du RGPD, cette disposition ne prévoit pas de limitation en ce qui concerne un type spécifique de traitement ou la méthode exacte selon laquelle le responsable du traitement des données obtient les données. Les données peuvent être obtenues par un procédé technique, tel que la génération des données par le responsable du traitement.

39.

Le sens large du terme « obtention » est confirmé par le considérant 62 du RGPD. Ce considérant utilise la notion d’« enregistrement » des données, opération qui, ainsi que l’a relevé la juridiction de renvoi, fait référence à un champ plus large d’opérations de traitement pouvant être effectuées par le responsable du traitement. L’article 14, paragraphe 5, sous c), du RGPD ne saurait donc être interprété comme applicable uniquement à l’égard des données obtenues auprès d’une autre entité et non des données générées par le responsable du traitement.

40.	L’interprétation susmentionnée de l’article 14, paragraphe 5, sous c), du RGPD est confortée également par le contexte dans lequel s’inscrit cette disposition et par les objectifs et la finalité de ladite disposition.

41.

À cet égard, il y a lieu de relever que les dérogations énoncées à l’article 14, paragraphe 5, du RGPD concernent les paragraphes 1 à 4 de cet article. Le champ d’application matériel de l’article 14 du RGPD (dont relève la dérogation en cause) est défini de manière négative par rapport à l’article 13 du RGPD. Tandis que l’article 13 du RGPD régit les informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée, l’article 14 de ce règlement régit la fourniture d’informations lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. Il découle de la dichotomie entre collecte directe et indirecte de données que tous les cas dans lesquels les données ne sont pas collectées auprès de la personne concernée relèvent du champ d’application matériel de l’article 14 du RGPD. Il importe peu que les données soient générées par le responsable du traitement dans la mesure où elles ne sont pas collectées auprès de la personne concernée. Le large champ d’application matériel de l’article 14 du RGPD est également confirmé par le considérant 61 de ce règlement, qui vise les données « obtenues d’une autre source », c’est-à-dire une source autre que la personne concernée.

42.

Par ailleurs, ainsi que l’ont relevé, en substance, la Commission et l’autorité de contrôle hongroise, les règles énoncées aux articles 13 et 14 du RGPD forment un système global régissant la fourniture d’informations à la personne concernée dans toutes les situations possibles. Si le terme « obtention » figurant à l’article 14, paragraphe 5, sous c), du RGPD devait être interprété en ce sens qu’il exclut les données générées par le responsable du traitement, cette disposition aurait une portée plus restrictive que l’article 14 du RGPD, dont elle constitue un élément.

43.

En ce qui concerne la finalité spécifique de la dérogation en cause, ainsi qu’il a été indiqué dans les observations liminaires des présentes conclusions, l’exemption du responsable du traitement de fournir des informations repose sur la prémisse que le droit remplace l’obligation d’information qui est normalement imposée au responsable du traitement ( 23 ). La dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD confère aux États membres une marge d’appréciation pour prévoir une voie différente pour informer la personne concernée et assurer un traitement équitable et transparent par rapport aux informations fournies par le responsable du traitement sur une base individuelle. La voie juridique différente doit toujours parvenir au même résultat. Le droit qui se substitue à l’obligation d’information des responsables du traitement doit mettre la personne concernée en mesure d’exercer un contrôle sur ses données et d’exercer les droits que lui confère le RGPD ( 24 ).

44.

Interpréter l’article 14, paragraphe 5, sous c), du RGPD en ce sens qu’il exclut de son champ d’application la génération de données par le responsable du traitement restreindrait la marge d’appréciation laissée aux États membres sur la base d’un motif qui ne semble pas pertinent pour la protection des intérêts légitimes de la personne concernée.

45.

D’ailleurs, une interprétation différente, qui introduirait une exception à la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD lorsque les données sont générées par le responsable du traitement, risquerait d’ajouter une couche de complexité pour la personne concernée. Celle-ci doit être en mesure de savoir auprès de quelle source elle obtiendra des informations sur le traitement de ses données lorsque celles-ci ne sont pas collectées auprès de la personne concernée elle-même. Le droit pertinent doit rendre prévisible le traitement pour la personne concernée dans toutes les situations de ce type ( 25 ).

46.

Eu égard à ce qui précède, l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que la dérogation à l’obligation d’information de la personne concernée incombant au responsable du traitement s’applique à toutes les données que le responsable du traitement n’a pas collectées auprès de cette personne. Il n’est pas pertinent, à cet égard, de savoir si les données sont spécifiquement collectées auprès d’une autre entité ou si elles sont générées par le responsable du traitement dans le cadre de son propre processus.

C. Sur la deuxième question préjudicielle

47.

Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 77, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle a le pouvoir d’examiner si le droit de l’État membre auquel le responsable du traitement est soumis prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée aux fins de l’application de la dérogation prévue à l’article 14, paragraphe 5, sous c), de ce règlement.

48.

À cet égard, il convient de rappeler, d’une part, que, selon l’article 77, paragraphe 1, du RGPD, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement ( 26 ).

49.

D’autre part, en vertu de l’article 55, paragraphe 1, du RGPD, chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément à ce règlement sur le territoire de l’État membre dont elle relève ( 27 ). En outre, en vertu de l’article 57, paragraphe 1, sous a), du RGPD, les autorités nationales de contrôle sont chargées de contrôler l’application de ce règlement et de veiller au respect de celui-ci.

50.	Les dispositions susmentionnées aux deux points précédents n’excluent pas de la compétence des autorités nationales de contrôle les conditions d’application de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD.

51.

Partant, ainsi que le gouvernement hongrois et la Commission l’ont souligné, en substance, dans le contexte d’une réclamation introduite au titre de l’article 77, paragraphe 1, du RGPD, les autorités de contrôle sont investies du pouvoir de contrôler si toutes les conditions prévues à l’article 14, paragraphe 5, sous c), du RGPD sont remplies. Ainsi qu’il résulte de la première phrase de l’article 14, paragraphe 5, de ce règlement, toutes les dérogations qu’il prévoit s’appliquent « lorsque et dans la mesure où » les conditions qui y sont énoncées sont remplies.

52.

À cet égard, les autorités de contrôle doivent avoir le pouvoir d’examiner, plus spécifiquement, d’une part, si le droit concerne directement le responsable du traitement et si l’obtention ou la communication des données sont obligatoires pour ce dernier ( 28 ). D’autre part, les autorités de contrôle doivent pouvoir examiner si le droit invoqué par le responsable du traitement prévoit des « mesures appropriées visant à protéger les intérêts légitimes de la personne concernée » et si le responsable du traitement est en mesure de démontrer que l’obtention ou la communication de données à caractère personnel respectent ces mesures ( 29 ).

53.

L’autorité de contrôle hongroise fait valoir que, en vérifiant si le droit national prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, elle outrepasserait les missions et pouvoirs qu’elle tire, respectivement, des articles 57 et 58 du RGPD. Cette autorité considère que ces dispositions ne confèrent pas aux autorités de contrôle de pouvoirs correctifs et qu’il n’est pas possible d’exercer de tels pouvoirs à l’égard d’un responsable du traitement qui a simplement respecté le droit national.

54.

À cet égard, il convient de souligner que l’examen par l’autorité nationale de contrôle de la question de savoir si toutes les conditions d’application de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD sont respectées n’implique pas, comme la Commission l’a observé à juste titre, un examen de la validité du droit national. L’autorité de contrôle examine uniquement la question de savoir si le responsable du traitement est en droit d’invoquer la dérogation à l’égard d’une personne concernée spécifique dans une situation particulière.

55.

Il incombe, dès lors, à l’autorité nationale de contrôle d’examiner la demande d’une personne concernée visant à ce que le responsable du traitement ne soit pas dispensé de fournir des informations au motif que le droit pertinent ne prévoit pas de mesures appropriées pour protéger les intérêts légitimes de la personne concernée.

56.

Si l’autorité nationale de contrôle parvient à la conclusion que la demande est infondée, la personne qui a introduit cette demande et qui conteste cette conclusion doit, ainsi qu’il ressort de l’article 78 du RGPD, avoir accès aux recours juridictionnels lui permettant de contester une telle décision devant les juridictions nationales.

57.

Si l’autorité nationale de contrôle considère que la demande est fondée et que les conditions de la dérogation ne sont pas remplies, elle a le pouvoir, ainsi que l’ont soutenu, en substance, le gouvernement hongrois et la Commission, d’enjoindre le responsable du traitement de faire droit à la demande de la personne concernée. Dans ce cas, le responsable du traitement doit fournir les informations conformément à l’article 14, paragraphes 1 à 4, du RGPD.

58.

Dans son mémoire en réponse aux questions écrites posées par la Cour, le gouvernement tchèque a fait valoir que l’examen du caractère approprié des mesures de protection des intérêts légitimes de la personne concernée n’est pas possible lorsque le droit national prévoit, de manière ciblée, pour une situation particulière, une exception à l’obligation d’information. S’appuyant sur l’arrêt Schrems ( 30 ), ce gouvernement observe, en substance, que l’examen de la compatibilité d’une source de droit avec une autre source de droit relève de la compétence exclusive des juridictions et non d’une autorité administrative.

59.

À cet égard, il convient de rappeler que l’une des principales questions soulevées dans l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), concernait les pouvoirs des autorités nationales de contrôle d’examiner la demande d’une personne relative à la protection de ses droits et libertés à l’égard d’une décision de la Commission constatant qu’un pays tiers assure un niveau de protection adéquat ( 31 ). La Cour, en substance, a jugé que, lors de l’examen d’une telle demande, les autorités nationales de contrôle ne sont pas en droit de constater elles‑mêmes l’invalidité d’une telle décision ( 32 ). Dans l’hypothèse où l’autorité nationale de contrôle estime fondés les griefs avancés par la personne l’ayant saisie d’une demande, cette même autorité doit pouvoir ester en justice ( 33 ).

60.

Toutefois, l’arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650), ne semble pas directement pertinent en ce qui concerne la question des pouvoirs des autorités de contrôle s’agissant de l’examen de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD. Il y a lieu de relever d’emblée que, dans le cadre de cet examen, l’autorité de contrôle n’interfère pas avec l’obligation légale imposée au responsable du traitement d’obtenir ou de communiquer les données à caractère personnel. En d’autres termes, l’autorité de contrôle n’enjoint pas le responsable du traitement de s’abstenir d’observer une obligation légale d’obtention ou de communication à laquelle il reste tenu. Ainsi que l’ont fait valoir, en substance, la Commission et le gouvernement hongrois, dans une telle situation, le pouvoir de l’autorité nationale de contrôle consiste à enjoindre le responsable du traitement de fournir les informations nécessaires dans son avis de confidentialité ( 34 ) si les conditions de la dérogation concernée ne sont pas remplies. Une telle injonction, ainsi que je l’ai relevé aux points précédents des présentes conclusions, n’altère pas la validité de la mesure législative à laquelle le responsable du traitement est soumis.

61.

Le pouvoir de l’autorité de contrôle d’enjoindre le responsable du traitement de fournir des informations est sans préjudice du pouvoir de cette autorité, si elle estime que l’acte juridique en question est invalide, d’engager les procédures judiciaires prévues à cet effet par le droit national, conformément à l’article 58, paragraphe 5, du RGPD.

62.

Enfin, sur un plan plus systémique, comme toutes les parties intéressées l’ont fait valoir, l’autorité de contrôle a le pouvoir de conseiller aux pouvoirs législatif ou exécutif de modifier l’acte juridique en question si elle estime qu’il ne prévoit pas de mesures appropriées visant à protéger les intérêts légitimes de la personne concernée. À cet égard, il convient de rappeler que les autorités de contrôle sont chargées de conseiller le parlement national ainsi que le gouvernement et les autres institutions et organismes, conformément à l’article 57, paragraphe 1, sous c), du RGPD. Elles jouissent également des pouvoirs consultatifs prévus à l’article 58, paragraphe 3, sous b), du RGPD.

63.

Il s’ensuit que l’article 77, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le contexte d’une procédure de réclamation, l’autorité de contrôle a le pouvoir d’examiner si l’ensemble des conditions prévues à l’article 14, paragraphe 5, sous c), de ce règlement sont remplies. Plus particulièrement, elle a le pouvoir d’examiner si le droit de l’État membre, auquel est soumis le responsable du traitement, prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

D. Sur la troisième question préjudicielle

64.

Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que les « mesures appropriées » auxquelles celui-ci fait référence exigent une transposition, par le législateur national, des mesures de sécurité des données visées à l’article 32 de ce règlement.

65.

À cet égard, il convient de rappeler, d’une part, que l’application de la dérogation à l’obligation d’information, prévue à l’article 14, paragraphe 5, sous c), du RGPD, dépend de la mise en place de « mesures appropriées » visant à protéger les intérêts légitimes de la personne concernée. D’autre part, il découle de l’article 32 du RGPD que le responsable du traitement et le sous-traitant doivent mettre en œuvre les « mesures techniques et organisationnelles appropriées » afin d’assurer la sécurité du traitement.

66.

Toutefois, comme le fait valoir la Commission, les articles 14 et 32 du RGPD ont une portée distincte. La portée des « mesures appropriées » doit être examinée dans le cadre de l’article 14 du RGPD. Par conséquent, il n’est pas possible de déterminer l’une des conditions d’application de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD en transposant la notion de « mesures techniques et organisationnelles appropriées » employée dans une autre disposition. En outre, dans le cadre de l’article 32 du RGPD, il n’apparaît pas pertinent de savoir si c’est le responsable du traitement qui fournit les informations ou si l’obtention ou la communication sont prévues par le droit. Dès lors, l’objet de l’examen effectué par l’autorité de contrôle doit être circonscrit par le champ d’application de l’article 14 du RGPD.

67.

Le contenu exact de la notion de « mesures appropriées » n’est pas précisé à l’article 14, paragraphe 5, sous c), du RGPD. Cette notion est suffisamment large pour couvrir toute mesure que le législateur juge nécessaire et appropriée. La notion de « mesures appropriées » doit être interprétée, ainsi que la Commission l’a fait valoir, en substance, à la lumière du principe de transparence énoncé à l’article 5, paragraphe 1, sous a), du RGPD. À cet égard, il importe de tenir compte du fait que le droit pertinent, ainsi qu’il a été relevé dans les observations liminaires des présentes conclusions ( 35 ), est un « substitut » à l’obligation d’information qui incombe normalement au responsable du traitement. Il appartient au législateur de déterminer les mesures appropriées en fonction, par exemple, de la catégorie de données obtenues et du contexte dans lequel leur traitement a lieu.

68.	Le gouvernement tchèque a fait valoir dans sa réponse à la question posée par la Cour que la portée des mesures appropriées est plus large que la liste d’informations figurant à l’article 14, paragraphes 1, 2 et 4, du RGPD.

69.

Je conviens que le caractère approprié des mesures ne peut pas être apprécié uniquement au moyen d’une comparaison « mécanique » avec les obligations d’information du responsable du traitement harmonisées par le RGPD. Il semblerait dénué de sens de prévoir une « clause d’ouverture » au titre de l’article 14, paragraphe 5, sous c), du RGPD ( 36 ) tout en imposant exactement les mêmes obligations sans laisser de marge d’appréciation au législateur. Cela étant, le droit pertinent doit garantir un niveau de traitement équitable et transparent équivalent à celui garanti par l’article 14, paragraphes 1 à 4, du RGPD ( 37 ). Pour que la personne concernée puisse apprécier tout risque lié à l’obtention des données et à leur traitement ( 38 ), la réponse à la question de savoir qui traite les données, pour quelle raison et de quelle manière doit ressortir clairement d’une simple lecture de la disposition juridique pertinente ( 39 ). Comme je l’ai indiqué précédemment ( 40 ), la voie juridique différente doit parvenir au même résultat, qui consiste à permettre à la personne concernée d’exercer un contrôle sur ses données et d’exercer les droits que lui confère le RGPD.

70.

Le fondement juridique spécifique du traitement a également une incidence sur la détermination des « mesures appropriées » aux circonstances particulières du traitement. À cet égard, il convient de rappeler qu’il ressort de l’article 6, paragraphe 1, sous c) et e), du RGPD que le traitement est licite si, et dans la mesure où, il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis et s’il est nécessaire à l’exécution d’une mission d’intérêt public. En ce qui concerne un tel traitement, l’article 6, paragraphe 2, du RGPD autorise les États membres à maintenir ou à introduire des dispositions plus spécifiques pour adapter l’application des règles de ce règlement pour ce qui est du traitement en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et équitable ( 41 ). En outre, en vertu de l’article 9, paragraphe 2, sous i), du RGPD, lorsque le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, le droit de l’État membre (ou de l’Union) doit prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée.

71.

Dans l’affaire au principal, l’obtention des données a été imposée par le décret 60/2021, qui, ainsi qu’il ressort du dossier, a été adopté sur la base de l’article 6, paragraphe 1, sous c) et e), et l’article 9, paragraphe 2, sous i), du RGPD. Le gouvernement hongrois fait valoir que le décret 60/2021, outre les garanties générales qui s’appliquent en vertu du cadre juridique adopté pour assurer la licéité du traitement, prévoit des garanties supplémentaires. À cet égard, ce gouvernement a indiqué que l’une de ces garanties consistait dans le fait que les sous-traitants désignés dans ce décret sont détenus par l’État et doivent respecter le cadre législatif en matière de sécurité des données applicable aux organes de l’État et aux collectivités locales. C’est à la juridiction de renvoi qu’il incombe d’examiner ces arguments et d’apprécier si le droit national prévoit des mesures appropriées à la lumière des considérations susmentionnées.

72.

Eu égard à ce qui précède, j’estime que l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que les « mesures appropriées » auxquelles celui-ci fait référence n’exigent pas une transposition, par le législateur national, des mesures de sécurité des données visées à l’article 32 de ce règlement.

V. Conclusion

73.

Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par la Kúria (Cour suprême, Hongrie) :

L’article 14, paragraphe 5, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

la dérogation à l’obligation d’information de la personne concernée incombant au responsable du traitement s’applique à toutes les données que le responsable du traitement n’a pas collectées auprès de cette personne. Il n’est pas pertinent, à cet égard, de savoir si les données sont spécifiquement collectées auprès d’une autre entité ou si elles sont générées par le responsable du traitement dans le cadre de son propre processus.

L’article 77, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

dans le cadre d’une procédure de réclamation, l’autorité de contrôle a le pouvoir d’examiner si l’ensemble des conditions prévues à l’article 14, paragraphe 5, sous c), de ce règlement sont remplies. Plus particulièrement, elle a le pouvoir d’examiner si le droit de l’État membre, auquel est soumis le responsable du traitement, prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

3)	L’article 14, paragraphe 5, sous c), du règlement 2016/679 doit être interprété en ce sens que : les « mesures appropriées » auxquelles celui-ci fait référence n’exigent pas une transposition, par le législateur national, des mesures de sécurité des données visées à l’article 32 de ce règlement.

( 1 ) Langue originale : l’anglais.

( i ) Le nom de la présente affaire est un nom fictif. Il ne correspond au nom réel d’aucune partie à la procédure.

( 2 ) C‑201/14, EU:C:2015:461, point 74 (mise en italique par mes soins).

( 3 ) Vrabec, U., H., Data Subject Rights under the GDPR, Oxford University Press, Oxford, 2021, p. 64.

( 4 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 5 ) Voir groupe de travail « Article 29 » sur la protection des données, Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, adoptées le 29 novembre 2017, 17/FR WP260 rev.01 (ci-après les « lignes directrices sur la transparence »), point 4. Ce groupe de travail a été remplacé par la suite par le Comité européen de la protection des données (EDPB). Toutefois, les lignes directrices sur la transparence restent valides. Voir également EDPB, Lignes directrices 03/2020 sur le traitement de données concernant la santé à des fins de recherche scientifique dans le contexte de la pandémie de COVID-19, adoptées le 21 avril 2020, point 5.1.2.4.

( 6 ) Arrêt du 1er octobre 2015 (C‑201/14, EU:C:2015:638, point 33), citant les conclusions de l’avocat général Cruz Villalón dans la même affaire (EU:C:2015:461).

( 7 ) Lignes directrices sur la transparence, point 24. Voir également Vrabec, U., H., Data Subject Rights under the GDPR, Oxford University Press, Oxford, 2021, p. 84.

( 8 ) Voir Zanfir-Fortuna, G., « Article 14. Information to be provided where personal data have not been obtained from the data subject », dans Kuner, C., Bygrave, L. A., et Docksey, C. (dir.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 435 à 448, à la page 436.

( 9 ) Voir Zanfir-Fortuna, G., « Article 14. Information to be provided where personal data have not been obtained from the data subject », dans Kuner, C., Bygrave, L. A., et Docksey, C. (dir.), The EU General Data Protection Regulation (GDPR) – A Commentary, Oxford University Press, Oxford, 2020, p. 444.

( 10 ) Vrabec, U., H., Data Subject Rights under the GDPR, Oxford University Press, Oxford, 2021, p. 68.

( 11 ) Lorsque le traitement est fondé sur l’article 6, paragraphe 1, sous f), du RGPD.

( 12 ) En tant que disposition contenant une clause d’ouverture, elle ouvre la possibilité pour les États membres de prévoir des règles nationales supplémentaires, plus strictes ou dérogatoires, et laisse à ceux-ci une marge d’appréciation sur la manière dont ces dispositions peuvent être mises en œuvre (voir, en ce sens, arrêt du 30 mars 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, point 51). Voir Knyrim, R., « IV. Ausnahme von der Informationspflicht » dans Ehmann, E. et Selmayr, M., Datenschutz Grundverordnung, DS – GVO, Beck, Munich, 2e édition, 2018, article 14, points 42 à 48, au point 47.

( 13 ) À savoir les versions en langues bulgare, espagnole, danoise, allemande, grecque, anglaise, italienne, polonaise, slovaque et suédoise.

( 14 ) Tel est notamment le cas des versions en langues estonienne (« isikuandmed »), lituanienne (« duomenų »), hongroise (« adat »), néerlandaise (« gegevens »), portugaise (« dados »), roumaine (« datelor ») et finnoise (« tietojen »).

( 15 ) La doctrine francophone observe que la version en langue française aurait dû indiquer le terme « données » au lieu d’« informations », comme c’était le cas dans le cadre de la disposition précédant l’article 14, paragraphe 5, sous c), du RGPD, à savoir l’article 11, paragraphe 2, de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31) [voir de Terwangne, C., et Rosier, K., « Section 1. – Droit d’être informée de l’existence de traitements la concernant », dans Le règlement général sur la protection des données (RGPD/GDPR), Larcier, Bruxelles, 1re édition, 2018, p. 409 à 432, note en bas de page 132].

( 16 ) Voir, à cet égard, arrêt du 21 mars 2024, Cobult (C‑76/23, EU:C:2024:253, point 25 et jurisprudence citée).

( 17 ) Voir, à cet égard, arrêt du 5 octobre 2023, Ministerstvo zdravotnictví (Application mobile Covid-19) (C‑659/22, EU:C:2023:745, point 27).

( 18 ) Ebner, K., « 6. Ausschluss der Informationspflicht », dans Weniger ist Mehr ? Die Informationspflichten der DS-GVO – Eine kritische Analyse, Nomos, Baden‑Baden, 2022, p. 272 à 298, à la page 280. Cet auteur fait également observer (p. 281) que le fait de dispenser le responsable du traitement de fournir des informations dans le cas prévu à l’article 14, paragraphe 5, sous c), du RGPD est un moyen d’éviter le risque de « saturation » ou de « surcharge » d’information ; Dix, A., « DSGVO Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden – g) Regelung durch das Recht der Mitgliedstaaten oder der Union (Abs. 5 lit. c) », dans Simitis, S., Hornung, G., et Spiecker, I., Datenschutzrecht DSGVO mit BDSG Großkommentar, Beck, Munich, 2019, points 27 et 28, au point 27, faisant référence au droit pertinent comme étant un « substitut suffisant » (« hinreichendes Surrogat ») aux informations requises fournies par le responsable du traitement.

( 19 ) Dix, A., cité à la note en bas de page 18 des présentes conclusions.

( 20 ) Lignes directrices sur la transparence, point 66. En conséquence, le responsable du traitement doit être en mesure de démontrer que le droit en question lui est applicable et lui impose d’obtenir ou de communiquer les données à caractère personnel concernées.

( 21 ) Voir point 16 des présentes conclusions.

( 22 ) Arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, point 48 et jurisprudence citée).

( 23 ) Voir point 31 des présentes conclusions.

( 24 ) Voir point 23 des présentes conclusions.

( 25 ) Dix, A., dans Simitis, S., Hornung, G., et Spiecker, I., cité à la note en bas de page 18, et Ebner, K., « 6. Ausschluss der Informationspflicht », cité à la note en bas de page 18, p. 281.

( 26 ) Arrêt du 16 janvier 2024, Österreichische Datenschutzbehörde (C‑33/22, EU:C:2024:46, point 61).

( 27 ) Arrêt du 16 janvier 2024, Österreichische Datenschutzbehörde (C‑33/22, EU:C:2024:46, point 61).

( 28 ) Voir lignes directrices sur la transparence, point 66.

( 29 ) Voir lignes directrices sur la transparence, point 66.

( 30 ) Arrêt du 6 octobre 2015 (C‑362/14, EU:C:2015:650, point 65).

( 31 ) Adoptée conformément à l’article 25, paragraphe 6, de la directive 95/46.

( 32 ) Voir, à cet égard, arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 62).

( 33 ) Voir, à cet égard, arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 65).

( 34 ) Cela est sans préjudice de limitations éventuelles au droit à l’information qui peuvent être imposées par le droit de l’Union ou le droit de l’État membre conformément aux conditions prévues à l’article 23 du RGPD.

( 35 ) Voir point 31 des présentes conclusions.

( 36 ) Voir point 27 des présentes conclusions.

( 37 ) Voir, à cet égard, Ebner, K., « 6. Ausschluss der Informationspflicht », dans Weniger ist Mehr? Die Informationspflichten der DS-GVO – Eine kritische Analyse, Nomos, Baden‑Baden, 2022, p. 281, qui fait référence à un niveau de protection comparable (« vergleichbares Schutzniveau ») ; Mester, B.-A., « DSGVO Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden– 3. Ausdrückliche Regelung (Abs. 5 lit. c) », dans Taeger, J., et Gabel, D., DSGVO – BDSG TTDSG, Beck, Munich, 2022, point 26 ; Paal, B., et Hennemann, M., « DSGVO Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden – III. Sonstige Regelung (lit. c) », dans Paal, B., et Pauly, D., Datenschutz-Grundverordnung Bundesdatenschutzgesetz: DS-GVO BDSG, Beck, Munich, 2021, point 42.

( 38 ) Mester, B.-A., « DSGVO Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden– 3. Ausdrückliche Regelung (Abs. 5 lit. c) », dans Taeger, J., et Gabel, D., DSGVO – BDSG TTDSG, Beck, Munich, 2022, point 26.

( 39 ) Ebner, K., « 6. Ausschluss der Informationspflicht », dans Weniger ist Mehr? Die Informationspflichten der DS-GVO – Eine kritische Analyse, Nomos, Baden‑Baden, 2022, p. 281.

( 40 ) Voir point 43 des présentes conclusions.

( 41 ) Ces dispositions spécifiques peuvent contenir les éléments figurant à l’article 6, paragraphe 3, du RGPD, notamment : les conditions générales régissant la licéité du traitement ; les types de données qui font l’objet du traitement ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX du RGPD.

Documents similaires

Arrêt CJUE62023CC0794

Arrêt CJUE — 62023CC0794

19/12/2024

Arrêt CJUE62023CC0427

Arrêt CJUE — 62023CC0427

19/12/2024

Arrêt CJUE62023CC0629

Conclusions de l'avocat général Mme J. Kokott, présentées le 12 décembre 2024.#MTÜ Eesti Suurkiskjad contre Keskkonnaamet.#Demande de décision préjudicielle, introduite par la Riigikohus.#Renvoi préjudiciel – Conservation des habitats naturels ainsi que de la faune et de la flore sauvages – Directive 92/43/CEE – Article 1er, sous i), premier alinéa – État de conservation d’une espèce – Notion – Article 14 – Mesures de gestion – Prélèvement dans la nature et exploitation compatible avec le maintien ou le rétablissement de l’espèce dans un état de conservation favorable – Article 1er, sous i), second alinéa – Évaluation du caractère favorable de l’état de conservation de l’espèce concernée – Conditions cumulatives – Canis lupus (loup) – Classement dans la catégorie “vulnérable” de la “liste rouge” de l’Union internationale pour la conservation de la nature – Espèce animale faisant partie d’une population dont l’aire de répartition naturelle s’étend au-delà du territoire d’un État membre – Prise en compte des échanges avec les populations de la même espèce présentes dans les États membres ou pays tiers voisins – Article 2, paragraphe 3 – Prise en compte des exigences économiques, sociales et culturelles, ainsi que des particularités régionales et locales.#Affaire C-629/23.

12/12/2024

Arrêt CJUE62023CC0414

Conclusions de l'avocat général M. M. Campos Sánchez-Bordona, présentées le 12 décembre 2024.#Metsä Fibre Oy.#Demande de décision préjudicielle, introduite par le Helsingin hallinto-oikeus.#Renvoi préjudiciel – Système d’échange de quotas d’émission de gaz à effet de serre – Registre de l’Union – Règlement (UE) no 389/2013 – Consignation d’une restitution de tels quotas dans ce registre – Irrévocabilité des transactions – Article 40 – Annulation de processus finalisés – Article 70 – Restitution en vertu d’une disposition de l’Union invalidée ultérieurement par la Cour – Impossibilité, pour l’exploitant, de récupérer les quotas concernés pour la période en cause – Validité.#Affaire C-414/23.

12/12/2024

← Retour au droit européen Voir aussi sur EUR-Lex →

CONCLUSIONS DE L’AVOCATE GÉNÉRALE

MME LAILA MEDINA

présentées le 6 juin 2024 ( 1 )

Affaire C-169/23 [Másdi] ( i )

Nemzeti Adatvédelmi és Információszabadság Hatóság

contre

[demande de décision préjudicielle formée par la Kúria (Cour suprême, Hongrie)]

I. Introduction

II. Le cadre juridique

A. Le droit de l’Union

a)	l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b)	le cas échéant, les coordonnées du délégué à la protection des données ;

c)	les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d)	les catégories de données à caractère personnel concernées ;

e)	le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

a)	la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b)	lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

d)	lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

e)	le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

f)	la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;

g)	l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous‑jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

[...]

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

[...]

c)	l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ;

[...] »

L’article 32 du RGPD, intitulé « Sécurité du traitement », énonce, à son paragraphe 1 :

[...] »

L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :

B. Le droit hongrois

« Le certificat d’immunité inclut :

a)	le nom de la personne concernée,

b)	le numéro du passeport de la personne concernée, le cas échéant,

c)	le numéro de la carte d’identité permanente de la personne concernée, le cas échéant,

d)	le numéro de série du certificat d’immunité,

e)	en cas de preuve de vaccination, la date de la vaccination,

f)	en cas de preuve de guérison d’une infection, la date d’expiration de la validité du certificat,

g)	un code formé à partir des données visées sous a) à f), lisible optiquement par un dispositif informatique,

[...] »

L’article 3, paragraphe 3, du décret 60/2021 dispose :

b)	auprès de l’organisme qui tient le registre des données à caractère personnel et des adresses, le nom de la personne concernée, le numéro ou identifiant de son passeport et de sa carte d’identité permanente, ainsi que son adresse. »

III. Le litige au principal et les questions préjudicielles

9.	UC, une personne physique, a reçu de l’administration de Budapest un certificat d’immunité confirmant sa vaccination contre la COVID-19.

10.

11.

12.

13.

14.

15.	UC a contesté la décision de l’autorité de contrôle hongroise devant la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie). Cette juridiction a fait droit au recours, elle a annulé la décision de l’autorité de contrôle hongroise et lui a ordonné de mener une nouvelle procédure.

16.

17.	L’autorité de contrôle hongroise a formé un pourvoi en cassation contre cet arrêt définitif de la Fővárosi Törvényszék (cour de Budapest-Capitale) devant la Kúria (Cour suprême, Hongrie).

18.

19.

20.

21.

Dans ce contexte, la Kúria (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

22.

IV. Analyse

A. Observations liminaires sur l’obligation d’information et la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD

23.

24.

25.

26.

27.

28.

29.

30.

31.

32.	Par conséquent, il s’ensuit clairement que la dérogation en matière d’obtention ou de communication a pour objet les données à caractère personnel.

33.	C’est à la lumière des observations susmentionnées que je poursuivrai l’examen de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD dans le contexte de l’analyse des questions déférées.

B. Sur la première question préjudicielle

34.

35.	Cette question découle du fait que, dans l’affaire au principal, certaines données contenues dans les certificats COVID-19 n’ont pas été obtenues par un autre organisme, mais ont été générées par l’administration de Budapest ( 21 ).

36.	Par conséquent, il convient de déterminer si la notion d’« obtention » figurant à l’article 14, paragraphe 5, sous c), du RGPD exclut les données générées par le responsable du traitement.

37.

38.

39.

40.	L’interprétation susmentionnée de l’article 14, paragraphe 5, sous c), du RGPD est confortée également par le contexte dans lequel s’inscrit cette disposition et par les objectifs et la finalité de ladite disposition.

41.

42.

43.

44.

45.

46.

C. Sur la deuxième question préjudicielle

47.

48.

49.

50.	Les dispositions susmentionnées aux deux points précédents n’excluent pas de la compétence des autorités nationales de contrôle les conditions d’application de la dérogation prévue à l’article 14, paragraphe 5, sous c), du RGPD.

51.

52.

53.

54.

55.

56.

57.

58.

59.

60.

61.

62.

63.

D. Sur la troisième question préjudicielle

64.

65.

66.

67.

68.	Le gouvernement tchèque a fait valoir dans sa réponse à la question posée par la Cour que la portée des mesures appropriées est plus large que la liste d’informations figurant à l’article 14, paragraphes 1, 2 et 4, du RGPD.

69.

70.

71.

72.

V. Conclusion

73.

Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par la Kúria (Cour suprême, Hongrie) :

doit être interprété en ce sens que :

L’article 77, paragraphe 1, du règlement 2016/679

doit être interprété en ce sens que :

3)	L’article 14, paragraphe 5, sous c), du règlement 2016/679 doit être interprété en ce sens que : les « mesures appropriées » auxquelles celui-ci fait référence n’exigent pas une transposition, par le législateur national, des mesures de sécurité des données visées à l’article 32 de ce règlement.