| CELEX | 62024CJ0312 |
| Type | Jurisprudence CJUE |
| Date | jeudi 4 juin 2026 |
ARRÊT DE LA COUR (cinquième chambre)
4 juin 2026 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale – Règlement (UE) 2016/679 – Directive (UE) 2016/680 – Champs d’application – Traitement des données collectées lors d’une enquête dirigée contre un policier en tant que personne soupçonnée d’une infraction pénale – Enregistrement des données relatives à cette enquête dans le dossier personnel du policier – Licéité du traitement – Article 6, paragraphe 1, premier alinéa, sous c), et article 6, paragraphe 3, de ce règlement – Traitement nécessaire au respect d’une obligation légale – Base juridique du traitement – Article 17 dudit règlement – Droit à l’effacement »
Dans l’affaire C‑312/24 [Darashev] (i),
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie), par décision du 30 janvier 2024, parvenue à la Cour le 29 avril 2024, dans la procédure
CL
contre
Prokuratura na Republika Bulgaria,
LA COUR (cinquième chambre),
composée de Mme M. L. Arastey Sahún, présidente de chambre, MM. J. Passer, E. Regan (rapporteur), D. Gratsias et B. Smulders, juges,
avocat général : M. M. Szpunar,
greffier : Mme R. Stefanova-Kamisheva, administratrice,
vu la procédure écrite et à la suite de l’audience du 21 mai 2025,
considérant les observations présentées :
– pour le gouvernement bulgare, par Mmes T. Mitova, S. Ruseva et M. R. Stoyanov, en qualité d’agents,
– pour le gouvernement hongrois, par Mme Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,
– pour la Commission européenne, par M. A. Bouchagiar, Mme G. Koleva et M. H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 4 septembre 2025,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 1er de la directive 2000/78/CE du Conseil, du 27 novembre 2000, portant création d’un cadre général en faveur de l’égalité de traitement en matière d’emploi et de travail (JO 2000, L 303, p. 16), de l’article 2, paragraphe 1, de l’article 4, points 2 et 6, de l’article 9, paragraphe 2, sous b), ainsi que de l’article 17, paragraphe 1, sous a) et d), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »), de l’article 3, points 1 et 2, de l’article 9, paragraphe 1, et de l’article 16, paragraphe 2, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision‑cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89), ainsi que de l’article 52 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte »).
2 Cette demande a été présentée dans le cadre d’un litige opposant CL à Prokuratura na Republika Bulgaria (parquet de la République de Bulgarie, ci‑après le « Parquet ») au sujet d’une indemnisation réclamée par CL pour le préjudice qu’il prétend avoir subi en raison, d’une part, des mesures d’investigation dont il a fait l’objet dans le cadre d’une enquête pénale le concernant et, d’autre part, des conséquences de cette dernière.
Le cadre juridique
Le droit de l’Union
La directive 2000/78
3 L’article 1er de la directive 2000/78, intitulé « Objet », prévoit :
« La présente directive a pour objet d’établir un cadre général pour lutter contre la discrimination fondée sur la religion ou les convictions, [le] handicap, l’âge ou l’orientation sexuelle, en ce qui concerne l’emploi et le travail, en vue de mettre en œuvre, dans les États membres, le principe de l’égalité de traitement. »
Le RGPD
4 Les considérants 4, 10, 19, 39, 41, 65 et 66 du RGPD énoncent :
« (4) [...] Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale [...]
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne] le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
[...]
(19) [...]
En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes à des fins relevant du champ d’application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l’État membre concerné. [...]
[...]
(39) [...] Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...]
[...]
(41) Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne [...] et de la Cour européenne des droits de l’homme.
[...]
(65) Les personnes concernées devraient avoir le droit de faire rectifier des données à caractère personnel les concernant, et disposer d’un “droit à l’oubli” lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l’Union ou du droit d’un État membre auquel le responsable du traitement est soumis. En particulier, les personnes concernées devraient avoir le droit d’obtenir que leurs données à caractère personnel soient effacées et ne soient plus traitées, lorsque ces données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière, lorsque les personnes concernées [...] s’opposent au traitement de données à caractère personnel les concernant, ou encore lorsque le traitement de leurs données à caractère personnel ne respecte pas d’une autre manière le présent règlement. [...] Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu’elle est nécessaire [...] au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement [...]
(66) Afin de renforcer le “droit à l’oubli” numérique, le droit à l’effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. [...] »
5 L’article 1er du RGPD, intitulé « Objet et objectifs », prévoit, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
6 L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
[...]
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
[...] »
7 L’article 4 du RGPD, intitulé « Définitions », est libellé comme suit :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable [...] ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
[...]
6) “fichier”, tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
[...] »
8 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit, à son paragraphe 1 :
« Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...]
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
[...] »
9 Aux termes de l’article 6 du RGPD, intitulé « Licéité du traitement » :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[...]
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
[...] »
10 L’article 9 du RGPD, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
[...]
b) le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ;
[...] »
11 L’article 10 du RGPD, intitulé « Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions », prévoit :
« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. [...] »
12 L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », est libellé comme suit :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
[...]
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
[...]
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :
[...]
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...] »
La directive 2016/680
13 Les considérants 11 et 12 de la directive 2016/680 énoncent :
« (11) Il convient dès lors que ces domaines soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, en respectant la nature spécifique de ces activités. Les autorités compétentes en question peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d’autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de la présente directive. Lorsqu’un tel organisme ou une telle entité traite des données à caractère personnel à des fins autres que celles prévues dans la présente directive, le [RGPD] s’applique. Par conséquent, le [RGPD] s’applique lorsqu’un organisme ou une entité recueille des données à caractère personnel à d’autres fins et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. [...]
(12) Les activités menées par la police ou d’autres autorités répressives sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non. [...] Parmi ces activités figure également le maintien de l’ordre public lorsque cette mission est confiée à la police ou à d’autres autorités répressives lorsque cela est nécessaire à des fins de protection contre les menaces pour la sécurité publique et pour les intérêts fondamentaux de la société protégés par la loi, et de prévention de telles menaces, qui sont susceptibles de déboucher sur une infraction pénale. [...] »
14 L’article 1er de cette directive, intitulé « Objet et objectifs », prévoit, à son paragraphe 1 :
« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »
15 L’article 2 de ladite directive, intitulé « Champ d’application », dispose, à son paragraphe 1 :
« La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1er, paragraphe 1. »
16 Aux termes de l’article 3 de la même directive, intitulé « Définitions » :
« Aux fins de la présente directive, on entend par :
1. “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable [...] ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2. “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
[...]
7. “autorité compétente” :
a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; ou
[...]
8. “responsable du traitement”, l’autorité compétente qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre ;
[...] »
17 L’article 9 de le directive 2016/680, intitulé « Conditions spécifiques applicables au traitement », dispose :
« 1. Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le [RGPD] s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.
2. Lorsque les autorités compétentes sont chargées par le droit d’un État membre d’exécuter des missions autres que celles exécutées pour les finalités énoncées à l’article 1er, paragraphe 1, le [RGPD] s’applique au traitement effectué à de telles fins, y compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.
[...] »
18 L’article 10 de cette directive prévoit des conditions relatives au traitement portant sur des catégories particulières de données à caractère personnel.
19 L’article 16 de ladite directive, intitulé « Droit de rectification ou d’effacement des données à caractère personnel et limitation du traitement », dispose, à son paragraphe 2 :
« Les États membres exigent que le responsable du traitement efface dans les meilleurs délais les données à caractère personnel et accordent à la personne concernée le droit d’obtenir du responsable du traitement l’effacement dans les meilleurs délais de données à caractère personnel la concernant lorsque le traitement constitue une violation des dispositions adoptées en vertu de l’article 4, 8 ou 10 ou lorsque les données à caractère personnel doivent être effacées pour respecter une obligation légale à laquelle est soumis le responsable du traitement. »
Le droit bulgare
20 Le zakon za otgovornostta na darzhavata i obshtinite za vredi (loi relative à la responsabilité de l’État et des communes pour les dommages causés) (DV no 60, du 5 août 1988), dans sa version applicable au litige au principal, prévoit, à son article 2, paragraphe 1, points 2 et 3 :
« L’État est responsable des dommages causés à des citoyens par les services d’enquête, le ministère public ou la juridiction en cas : [...] 2. de violation de droits protégés par l’article 5, paragraphes 2 à 4, de la Convention ; 3. d’accusation d’avoir commis une infraction pénale, si la personne est acquittée ou si la procédure pénale est clôturée au motif que l’acte n’a pas été commis par la personne concernée ou que l’acte commis ne constitue pas une infraction pénale, ou que la procédure pénale a été engagée après la prescription ou l’amnistie ; [...] »
21 Le zakon za ministerstvoto na vatreshnite raboti (loi relative au ministère de l’Intérieur) (DV no 53, du 27 juin 2014), dans sa version applicable au litige au principal (ci-après le « ZMVR »), dispose, à son article 2, paragraphe 1 :
« Les activités du ministère de l’Intérieur visent à protéger les droits et libertés des citoyens, à lutter contre la criminalité, à protéger la sécurité nationale, à préserver l’ordre public, à assurer la protection contre les incendies et à protéger la population. »
22 L’article 26, paragraphe 2, du ZMVR est libellé comme suit :
« les délais de conservation des données visées au paragraphe 1 ou de vérification périodique de la nécessité de les conserver sont fixés par le Ministre de l’Intérieur. Ces données sont également effacées en exécution d’un jugement ou d’une décision de la Commission de protection des données [à caractère personnel]. »
23 Aux termes de l’article 29, paragraphes 1 et 2, du ZMVR :
« (1) Le responsable du traitement des données à caractère personnel est le Ministre de l’Intérieur, qui peut confier le traitement de données à caractère personnel à des fonctionnaires qu’il désigne. (2) Les modalités du traitement des données à caractère personnel sont fixées par instruction du Ministre de l’Intérieur. »
24 L’article 147 du ZMVR prévoit :
« (1) Un dossier personnel est établi et tenu pour chaque agent du ministère de l’Intérieur ; (2) Les modalités d’établissement, de gestion et de conservation des dossiers personnels ainsi que les modalités de leur utilisation sont fixées par instruction du Ministre de l’Intérieur. »
25 L’article 150 du ZMVR dispose :
« (1) Le Ministre de l’Intérieur établit un Code de déontologie des agents du ministère de l’Intérieur, qui est publié au Darzhaven vestnik ; (2) Les agents sont tenus de respecter les règles fixées par le Code de déontologie des agents du ministère de l’Intérieur. »
26 Aux termes de l’article 155, paragraphes 1 et 4, du ZMVR :
« (1) Un agent du ministère de l’Intérieur est une personne physique ayant la capacité d’exercice qui remplit les conditions suivantes : [...] 2. ne pas avoir été condamnée pour une infraction pénale intentionnelle de droit commun, même si elle a été réhabilitée ; 3. ne pas être mise en examen ou ne pas être poursuivie pour une infraction pénale intentionnelle de droit commun ; [...]
[...]
(4) Les circonstances visées au paragraphe 1, point 2, sont constatées d’office par l’autorité investie du pouvoir de nomination. »
27 Le zakon za zashtita na lichnite danni (loi sur la protection des données à caractère personnel) (DV no 1, du 4 janvier 2002), dans sa version applicable au litige au principal (ci-après le « ZZLD »), dispose, à son article 6, paragraphes 1 et 2 :
« (1) La Commission de protection des données à caractère personnel [...] est une autorité de contrôle indépendante et permanente qui assure la protection des personnes lors du traitement de leurs données à caractère personnel et lors de l’accès à ces données, ainsi que le contrôle du respect [du RGPD] et de la présente loi ; (2) la Commission [de protection des données à caractère personnel] contribue à la mise en œuvre de la politique de l’État en matière de protection des données à caractère personnel. »
28 L’article 42 du ZZLD est libellé comme suit :
« (1) Les règles du présent chapitre s’appliquent au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour l’ordre et la sécurité publics et la prévention de telles menaces. (2) Les données à caractère personnel collectées aux fins visées au paragraphe 1 ne sont pas traitées à d’autres fins, sauf si le droit de l’Union ou la législation de la République de Bulgarie en dispose autrement. (3) Lorsque les autorités compétentes visées au paragraphe 1 traitent des données à caractère personnel à des fins autres que celles visées au paragraphe 1 et dans les cas visés au paragraphe 2, le [RGPD] et les dispositions pertinentes de la présente loi qui mettent en œuvre ce règlement s’appliquent. (4) Les autorités compétentes visées au paragraphe 1 sont les autorités publiques, qui sont investies de pouvoirs de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. (5) Sauf disposition contraire de la loi, un responsable du traitement au sens du présent chapitre lors du traitement de données à caractère personnel aux fins visées au paragraphe 1 est une autorité compétente au sens du paragraphe 4 ou l’organisme administratif dont cette autorité fait partie, qui, seule ou conjointement avec d’autres autorités, détermine les finalités et les moyens du traitement de données à caractère personnel. »
29 L’article 43 du ZZLD prévoit :
« Les règles du présent chapitre s’appliquent au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »
30 Aux termes de l’article 46 du ZZLD :
« (1) Lorsque les délais d’effacement des données à caractère personnel ou de vérification périodique de la nécessité de leur conservation ne sont pas fixés par la loi, ils sont fixés par le responsable du traitement ; (2) La vérification périodique visée au paragraphe 1 est documentée et la décision de poursuivre la conservation des données est motivée. »
31 L’instruction no 8121z-532, du 9 septembre 2014, relative à la rédaction, à la tenue, au stockage et à l’utilisation des dossiers personnels des agents du ministère de l’Intérieur (DV no 78, du 19 septembre 2014, modifiée et complétée au DV no 27, du 14 avril 2015, modifiée et complétée au DV no 53, du 25 juin 2021) (ci-après l’« instruction relative aux dossiers personnels »), dispose, à son article 3 :
« Les dossiers personnels sont constitués et conservés par l’unité des “ressources humaines” des structures concernées, numérotés par ordre croissant, décrits dans un journal [...] et stockés dans des locaux (répertoires) répondant aux exigences de conservation du matériel contenant des informations classifiées. »
32 L’article 5 de l’instruction relative aux dossiers personnels est libellé comme suit :
« (1) Le traitement de données à caractère personnel figurant dans les dossiers personnels est effectué conformément aux dispositions du zakon za zashtita na klasifitsiranata informatsia [...] [(loi relative à la protection des informations classifiées)], du [ZZLD] et du [RGPD] ; (2) Le traitement des informations stockées dans les dossiers personnels est effectué aux fins : 1. du commencement, du changement et de la cessation de la relation de travail ou de service des agents ; 2. de l’exécution du contrat de travail, y compris de l’exécution des obligations établies par la loi ou par des conventions collectives, de gestion, de planification et d’organisation du travail, d’égalité et de diversité sur le lieu de travail, de santé et de sécurité au travail, protection des biens de l’employeur ou du salarié ; 3. d’exercice et de jouissance, sur une base individuelle ou collective, des droits et des avantages de l’emploi ; 4. d’archives dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ; (3) l’accès aux informations stockées dans les dossiers personnels est limité et effectués dans le respect des dispositions [de la loi relative à la protection des informations classifiées], du [ZZLD] et du [RGPD]. »
33 L’article 6 de l’instruction relative aux dossiers personnels prévoit :
« (1) Dans les dossiers personnels sont collectés et stockés des documents classés en trois sections contenant des données et des informations sur l’étude, la nomination, la conclusion de contrats de travail, le changement de fonctions et la cessation des fonctions des agents. (2) La première section contient des documents relatifs à l’entrée au ministère de l’Intérieur. (3) La deuxième section contient des documents relatifs à l’évolution professionnelle (déclarations, procès‑verbaux, propositions, rapports d’évaluations, fiches personnelles, certificats de formations suivies, documents de participation à des concours, vérification de sécurité, copies d’arrêts maladie, etc.). (4) La troisième section contient des documents relatifs au changement de fonctions (décisions, actes d’entrée et de cessation de fonctions, documents relatifs à des procédures disciplinaires, contrats de travail, accords complémentaires, notifications visées à l’article 62 du Kodeks na truda (code du travail), etc.). »
Le litige au principal et les questions préjudicielles
34 Entre l’année 2012 et l’année 2023, le requérant au principal a occupé diverses fonctions en qualité de policier au sein de la direction générale « Police de la sécurité » et de la direction générale « Police nationale » du ministère de l’Intérieur bulgare.
35 Le 1er mars 2016, une enquête a été ouverte par la direction « Sécurité intérieure » de ce ministère, contre auteur inconnu, au titre d’une infraction de vol avec violence commise avec la complicité d’autrui.
36 Le 17 mai 2016, s’est tenue une réunion générale de tous les policiers de la direction dans laquelle le requérant au principal exerçait ses fonctions. Se sont également rendus à cette réunion le chef de la section concernée, un représentant de cette direction « Sécurité intérieure », un avocat général de la Sofiyska gradska prokuratura (parquet de la ville de Sofia, Bulgarie) et un enquêteur. Lors de ladite réunion, le requérant au principal a été placé publiquement en garde à vue et a été contraint de remettre sa plaque, son arme et sa carte de service.
37 Dans le cadre de l’enquête en cause, le requérant au principal a fait l’objet, en sa qualité de suspect, de différentes mesures d’investigation, à savoir une fouille, une prise d’empreintes digitales et, après délivrance d’une autorisation judiciaire, une perquisition de son domicile donnant lieu à une saisie. Il a participé à une reconnaissance des suspects au cours de laquelle il n’a pas été identifié par les victimes comme étant l’auteur de l’infraction et aucune trace de ses empreintes n’a été trouvée sur les objets des victimes. Après 24 heures de garde à vue, le requérant au principal a été libéré et, par la suite, il n’a été ni mis en examen ni accusé de l’infraction de vol avec violence. L’auteur de l’infraction n’ayant pas pu être identifié, l’enquête a été suspendue.
38 Le requérant au principal a continué à exercer ses fonctions au sein du ministère de l’Intérieur et a participé à des concours afin d’y obtenir une promotion, ce qui lui a été refusé au motif qu’il avait été mis en garde à vue en qualité de suspect dans le cadre de l’enquête diligentée pour vol avec violence. Dans son dossier personnel et dans les archives de ce ministère, figurent des informations concernant son placement en garde à vue et les mesures d’investigation dont il fait l’objet en sa qualité de suspect.
39 Le requérant au principal a introduit un recours devant le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie), qui est la juridiction de renvoi, afin que le Parquet soit condamné au versement d’une indemnité en réparation du préjudice moral qui lui a été causé par les mesures dont il a fait l’objet dans le cadre de l’enquête en cause ainsi que par les conséquences en résultant. Il fait valoir qu’il a subi un préjudice moral du fait que, employé du ministère de l’Intérieur depuis de nombreuses années, il a été placé en garde à vue devant ses collègues pour une infraction dont il n’a pas été démontré qu’il en aurait été l’auteur. Cette mesure humiliante constituerait un obstacle à son avancement professionnel et il relève, à cet égard, que son employeur, qui a fait procéder à son placement en garde à vue, conserve une base des données faisant état de cette enquête et de son nom en qualité de suspect et refuse de retirer ou d’effacer ces données.
40 Il ressort de la décision de renvoi que, conformément à la jurisprudence du Varhoven kasatsionen sad na Republika Balgaria (Cour suprême de cassation de la République de Bulgarie), un suspect qui n’a pas été poursuivi et qui a bénéficié d’une décision de classement sans suite a droit à une indemnisation.
41 La juridiction de renvoi précise que le ministère de l’Intérieur est une autorité administrative unique, dont la mission est d’assurer le maintien de l’ordre public, se composant de plusieurs directions dont celles de la « Police nationale » et de la « Police de la sécurité » qui interviennent au titre de la protection de l’ordre public, ainsi que celle de la « Sécurité intérieure » qui diligente les enquêtes visant les employés de ce ministère, quel que soit le type d’infractions reprochées et leur unité d’affectation.
42 En tant qu’autorité administrative unique, le ministère de l’Intérieur est l’employeur de tous les agents y exerçant leurs fonctions, mais chaque direction le composant conserve les informations relatives à ses agents et les consigne dans le dossier personnel de ceux-ci. À l’occasion de la participation à des concours aux fins d’obtention d’une promotion ou d’une mutation, l’employé concerné doit communiquer son dossier personnel ainsi que des informations relatives à la manière dont il a satisfait à ses obligations et portant sur les points de savoir s’il a été suspecté ou accusé d’une infraction, s’il a fait l’objet de poursuites pénales, s’il a commis une faute disciplinaire ou une infraction à l’ordre public. Les informations obtenues au moyen d’une enquête sont conservées dans le dossier personnel.
43 En premier lieu, la juridiction de renvoi s’interroge sur la question de savoir si le RGPD s’applique à des cas tels que celui en cause au principal, à savoir lorsque est concernée une seule et même structure organisationnelle dans laquelle une partie assure les fonctions d’employeur, alors qu’une autre exécute des fonctions d’autorité chargée de l’enquête dans le cadre d’une procédure pénale.
44 En deuxième lieu, dans l’affirmative, cette juridiction se pose la question de savoir si le fait de conserver des informations telles que celles visées au point 42 du présent arrêt dans le dossier personnel d’un employé constitue un « traitement de données à caractère personnel », au sens de l’article 4, point 2, du RGPD, et si ce dossier constitue un « fichier », au sens de l’article 4, point 6, du RGPD. Se poserait également la question de savoir si la conservation de telles données relève du champ d’application de l’article 9, paragraphe 2, sous b), du RGPD.
45 En troisième lieu, la juridiction de renvoi se demande si le ministère de l’Intérieur peut, en sa qualité d’employeur, refuser un avancement professionnel à l’un de ses employés au seul motif que ce dernier a eu la qualité de suspect, de personne poursuivie pénalement ou d’accusé et alors que la procédure pénale a été finalement suspendue. S’il est de notoriété publique que le personnel du ministère de l’Intérieur, qui veille au respect de l’ordre public, doit satisfaire à des critères moraux et éthiques plus élevés que d’autres catégories de salariés ou d’employés, cette juridiction nourrit des doutes quant au point de savoir si les modalités relatives au traitement de données dans le dossier personnel des employés de ce ministère relatives à la qualité de suspect, de personne poursuivie ou d’accusé sont proportionnelles aux exigences qui pèsent sur ce type d’employés. En effet, seule une condamnation ayant acquis force de chose jugée constitue, selon ladite juridiction, un motif valable pour résilier unilatéralement le contrat de travail d’un employé.
46 En quatrième lieu, la juridiction de renvoi se demande si le principe du « droit à l’oubli », prévu à l’article 17, paragraphe 1, sous a), du RGPD, lu à la lumière des considérants 65 et 66 de celui-ci, doit être interprété en ce sens que les données du dossier personnel d’un employé doivent être effacées, si elles ont été recueillies par une unité de l’employeur, autre que celle dont il relève, qui est chargée de mener l’enquête et si elles font état de ce que cet employé a été suspecté, accusé d’une infraction ou a fait l’objet de poursuites pénales. Cette juridiction nourrit également des doutes, dans ce contexte, quant à la portée de la notion de « traitement illicite », au sens de l’article 17, paragraphe 1, sous d), du RGPD.
47 En cinquième lieu, la juridiction de renvoi s’interroge sur l’applicabilité à la situation en cause au principal des dispositions de la directive 2016/680 et, dans l’affirmative, sur le caractère licite et proportionné de la conservation des données en cause au principal au regard de l’article 9, paragraphe 1, et de l’article 10 de cette directive ainsi que sur l’effacement de ces données en vertu de l’article 16, paragraphe 2, de celle-ci.
48 En sixième et dernier lieu, cette juridiction souligne que le requérant au principal s’est présenté à des concours aux fins d’obtention d’une promotion et d’une mutation et que, malgré son classement dans les premières places, il n’a pas été retenu en raison de sa qualité de suspect dans le cadre de l’enquête pour vol avec violence. Dans ce contexte, elle se pose la question de savoir si la conservation de données à caractère personnel par une autorité administrative unique, telle que le ministère de l’Intérieur, constitue une forme de discrimination, au sens de l’article 1er de la directive 2000/78.
49 Dans ces conditions, le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Convient-il d’interpréter l’article 2, paragraphe 1, du RGPD en ce sens que le traitement de données inclut des activités d’une [entité] unique dont une partie [des] directions met en œuvre les fonctions d’employeur, alors qu’une seule autre direction a la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée contre des employés des autres directions. En cas de réponse affirmative :
2) L’expression “traitement de données à caractère personnel”, visée à l’article 4, point 2, du RGPD, doit-elle être interprétée en ce sens qu’elle consiste en une activité consistant à joindre au dossier personnel de l’employé des informations que l’employeur a obtenues par l’intermédiaire de sa direction agissant en sa qualité d’autorité chargée de l’enquête à l’encontre de l’employé ?
3) Convient-il d’interpréter l’expression “fichier”, visée à l’article 4, point 6, du RGPD, en ce sens qu’elle consiste en un dossier personnel de l’employé ou du salarié exerçant ses fonctions dans une direction de l’employeur, alors que les informations ont été recueillies par une autre direction de l’employeur agissant en qualité d’autorité chargée de l’enquête ?
4) Convient-il d’interpréter l’article 9, paragraphe 2, sous b), du RGPD en ce sens qu’une unité d’un employeur peut recueillir et conserver des données relatives à la qualité de suspect, de personne poursuivie, ou encore d’accusé que l’employé a eue dans le cadre d’une procédure pénale, alors que ces informations ont été recueillies par une autre unité de l’employeur qui a la qualité d’autorité chargée de l’enquête ?
5) Le “droit à l’oubli”, visé à l’article 17, paragraphe 1, sous a), du RGPD, doit‑il être interprété en ce sens que l’employeur doit effacer toutes données du dossier personnel de l’employé qu’il a recueillies et conservées par l’intermédiaire de l’une de ses autres directions qui a la qualité d’autorité chargée de l’enquête à l’encontre de son employé, ces données concernant le fait que l’employé :
– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;
– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ?
6) Les données à caractère personnel “traitées de manière illicite”, visées à l’article 17, paragraphe 1, sous d), du RGPD, doivent‑elles être interprétées en ce sens qu’elles consistent en des données que l’employeur a obtenues, recueillies et conservées par l’intermédiaire d’une de ses unités qui a des fonctions d’enquête dans la procédure pénale engagée à l’encontre d’employés relevant de ses autres unités organisationnelles, ces données étant conservées dans le dossier personnel et concernant le fait que l’employé :
– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;
– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ?
7) Les “données à caractère personnel”, visées à l’article 3, point 1, de la [directive 2016/680], lu en combinaison avec l’article 52 de la [Charte], doivent-elle être interprétées en ce sens qu’elles constituent des données que l’employeur a obtenues, recueillies et conservées par l’intermédiaire de son unité qui a des fonctions d’autorité chargée de l’enquête dans la procédure pénale engagée à l’encontre d’un employé exerçant ses fonctions dans l’une de ses autres unités ?
8) Le “traitement” de données à caractère personnel au sens de l’article 3, point 2, de la [directive 2016/680], lu en combinaison avec l’article 52 de la [Charte], doit-il être interprété en ce sens qu’il consiste en une activité de conservation par l’employeur dans le dossier personnel de l’employé de données qu’il a obtenues, recueillies et conservées par l’intermédiaire de son unité chargée de l’enquête dans une procédure pénale engagée à l’encontre de cet employé qui exerce ses fonctions dans l’une de ses autres unités ?
9) L’article 9, paragraphe 1, de la [directive 2016/680], lu en combinaison avec l’article 52 de la [Charte], doit-il être interprété en ce sens qu’il autorise un employeur à recueillir et à conserver des informations relatives à un employé qui a la qualité de suspect, de personne poursuivie ou d’accusé, alors que l’employeur a recueilli ces informations par l’intermédiaire d’une de ses autres unités organisationnelles qui a la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée à l’encontre de cet employé ?
10) L’article 16, paragraphe 2, de la [directive 2016/680], lu en combinaison avec l’article 52 de la [Charte], doit-il être interprété en ce sens que l’employeur doit effacer toutes données du dossier personnel de l’employé qu’il a recueillies et conservées par l’intermédiaire de l’une de ses autres unités organisationnelles qui a la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée à l’encontre de cet employé, ces données concernant le fait que celui-ci :
– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;
– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ?
11) L’article 1er de la [directive 2000/78] doit-il être interprété en ce sens qu’il n’autorise pas l’employeur, dont une unité organisationnelle procède à des mesures d’enquête à l’encontre d’un employé d’une autre unité, à refuser l’avancement de carrière de cet employé pour l’unique motif que ce dernier :
– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;
– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ? »
Sur les questions préjudicielles
Sur la recevabilité
50 Le gouvernement bulgare soutient que l’ensemble des questions préjudicielles est manifestement irrecevable.
51 Ce gouvernement fait valoir que la demande de réparation du préjudice est dirigée uniquement contre le Parquet, qui fait partie du pouvoir judiciaire, alors que seul le ministère de l’Intérieur, qui relève du pouvoir exécutif et qui est l’employeur du requérant au principal, détient les informations figurant dans le dossier personnel de celui-ci. Ce requérant ne pourrait donc ni demander au Parquet l’effacement de ses données, ni le tenir responsable du fait que le ministère de l’Intérieur détienne ces informations, ni lui reprocher d’avoir entravé son avancement professionnel.
52 Ledit gouvernement relève que, pour engager la responsabilité du Parquet, la juridiction de renvoi doit déterminer, conformément à la législation nationale sur la responsabilité de l’État, si les droits de la personne concernée en tant qu’accusé ont été violés et s’il a été injustement accusé d’une infraction. Le litige au principal n’aurait pour objet ni l’application de dispositions du RGPD ni celle de la législation nationale transposant les directives 2016/680 et 2000/78. L’interprétation de ces actes du droit de l’Union ne serait donc pas nécessaire pour trancher ce litige.
53 À cet égard, il ressort de la jurisprudence constante de la Cour que les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande de décision préjudicielle formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (voir arrêt du 8 mai 2025, Stadt Wuppertal, C‑130/24, EU:C:2025:340, point 42 et jurisprudence citée).
54 Par ailleurs, il importe de rappeler qu’il n’appartient pas à la Cour de se prononcer sur l’interprétation des dispositions nationales et de juger si l’interprétation ou l’application qu’en donne le juge national est correcte, une telle interprétation relevant de la compétence exclusive de ce dernier [arrêt du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable), C‑548/21, EU:C:2024:830, point 53 et jurisprudence citée].
55 Ainsi, il incombe à la Cour de prendre en compte, dans le cadre de la répartition des compétences entre les juridictions de l’Union et les juridictions nationales, le contexte factuel et réglementaire dans lequel s’insèrent les questions préjudicielles, tel que défini par la décision de renvoi. Partant, quelles que soient les critiques émises par le gouvernement d’un État membre à l’égard de l’interprétation du droit national retenue par la juridiction de renvoi, l’examen des questions préjudicielles doit être effectué sur la base de cette interprétation et il n’appartient pas à la Cour d’en vérifier l’exactitude [arrêt du 29 juillet 2024, CU et ND (Assistance sociale – Discrimination indirecte), C‑112/22 et C‑223/22, EU:C:2024:636, point 40 ainsi que jurisprudence citée].
56 Cela étant, pour permettre à la Cour de fournir une interprétation du droit de l’Union qui soit utile pour le juge national, il résulte de l’article 94, sous c), du règlement de procédure de la Cour que la demande de décision préjudicielle doit contenir l’exposé des raisons qui ont conduit la juridiction de renvoi à s’interroger sur l’interprétation ou la validité de certaines dispositions du droit de l’Union ainsi que le lien qu’elle établit entre ces dispositions et la législation nationale applicable au litige au principal (arrêt du 2 juillet 2015, Gullotta et Farmacia di Gullotta Davide & C., C‑497/12, EU:C:2015:436, point 17).
57 En l’occurrence, s’agissant de l’objet du litige au principal, il est constant que les questions préjudicielles ont été soulevées dans le cadre d’un litige pendant devant la juridiction de renvoi portant sur une demande d’indemnisation du préjudice que le requérant au principal aurait subi non seulement en raison des mesures dont il a fait l’objet dans le cadre d’une enquête, mais également des conséquences de celle‑ci. À ce dernier égard, il ressort de la décision de renvoi que le préjudice prétendument subi résulte, en particulier, de la conservation et de l’utilisation ultérieure, par l’employeur, de données à caractère personnel recueillies dans le cadre de cette enquête, cet employeur ayant refusé un avancement professionnel au requérant au principal au motif qu’il a eu la qualité de suspect dans le cadre de ladite enquête. Le requérant au principal demande également à ce que son nom soit effacé de la base de données dans laquelle il figure en tant que suspect.
58 Il ressort ainsi du dossier dont dispose la Cour, d’une part, l’existence d’un lien entre l’objet du litige au principal et les règles du droit de l’Union en matière de protection des données à caractère personnel ainsi que, d’autre part, les raisons ayant conduit la juridiction de renvoi à s’interroger sur le point de savoir si le refus de l’employeur d’effacer les données en question est compatible avec ces règles.
59 En ce qui concerne, spécifiquement, la pertinence de l’interprétation de la directive 2000/78 aux fins de la résolution du litige au principal, dès lors que la question y relative vise, en substance, à déterminer si le préjudice subi par le requérant au principal, lié à un refus d’avancement professionnel fondé sur sa qualité de suspect, est susceptible d’être examiné au regard des dispositions de cette directive, cette question implique, dans les circonstances de la présente affaire, de fournir une réponse sur le fond relative à l’interprétation de l’article 1er de ladite directive, lequel délimite l’objet de celle-ci.
60 Par conséquent, les arguments avancés par le gouvernement bulgare ne justifient pas de considérer l’ensemble des questions préjudicielles comme étant irrecevables.
61 En revanche, il convient d’observer, en premier lieu, que, par la quatrième question, la juridiction de renvoi fait référence à l’article 9 du RGPD, qui régit, ainsi qu’il ressort de l’intitulé même de celui‑ci, le traitement portant sur des catégories sensibles de données à caractère personnel. Or, il ne ressort pas de la demande de décision préjudicielle que les données en cause au principal relèvent de l’une des catégories de données énumérées au paragraphe 1 de cet article 9, à savoir, notamment, des données qui révèlent l’origine raciale ou ethnique, le traitement des données génétiques, des données biométriques afin d’identifier une personne physique de manière unique ainsi que des données concernant la santé d’une personne physique. L’interprétation sollicitée de l’article 9, paragraphe 2, sous b), du RGPD étant dépourvue de pertinence aux fins de la résolution du litige au principal, cette quatrième question doit être considérée comme étant irrecevable.
62 En deuxième lieu, certaines circonstances visées dans le libellé des cinquième, sixième et neuvième à onzième questions ne sont pas pertinentes au regard de la situation en cause au principal, laquelle concerne, ainsi qu’il ressort de la décision de renvoi telle que résumée aux points 35 à 37 du présent arrêt, une personne soupçonnée d’avoir commis une infraction dans le cadre d’une enquête pénale qui a été finalement suspendue. Il n’y a pas lieu, dès lors, de répondre à ces questions en ce qu’elles visent un traitement de données relatives à un employé qui est accusé ou a été accusé d’avoir commis une infraction ou qui fait l’objet ou a fait l’objet de poursuites pénales, lesdites questions revêtant, en cela, un caractère hypothétique.
63 En troisième lieu, s’agissant de certaines autres prémisses factuelles sur lesquelles repose la onzième question, le gouvernement bulgare a indiqué lors de l’audience que, au cours de la période suivant l’enquête pénale en cause, le requérant au principal, contrairement à ce qu’il affirme, a été promu à plusieurs reprises. Il importe, toutefois, de souligner que la présomption de pertinence dont bénéficient les questions préjudicielles, rappelée au point 53 du présent arrêt, ne saurait être renversée par la simple circonstance que l’une des parties au principal conteste certains faits dont il n’appartient pas à la Cour de vérifier l’exactitude et dont dépend la définition de l’objet du litige (arrêt du 5 décembre 2006, Cipolla e.a., C‑94/04 et C‑202/04, EU:C:2006:758, point 26).
Sur le fond
Sur les première à troisième et septième à neuvième questions
64 Il convient de rappeler que, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour, instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises. En outre, la Cour peut être amenée à prendre en considération des dispositions du droit de l’Union auxquelles la juridiction nationale n’a pas fait référence dans l’énoncé de sa question (arrêt du 18 janvier 2024, Hewlett Packard Development Company, C‑367/21, EU:C:2024:61, point 44 et jurisprudence citée).
65 À cet égard, il y a lieu de relever que, ainsi que M. l’avocat général l’a observé aux points 47 à 53 de ses conclusions, si, par ses deuxième, troisième, septième et huitième questions, la juridiction de renvoi interroge formellement la Cour sur l’interprétation à donner aux notions de « traitement » de données à caractère personnel et de « fichier », au sens de l’article 4, points 2 et 6, du RGPD, ainsi qu’aux notions de « données à caractère personnel » et de « traitement », au sens de l’article 3, points 1 et 2, de la directive 2016/680, outre le fait que ces dernières notions sont définies en des termes identiques à ceux employés dans le RGPD, en réalité, cette juridiction cherche à déterminer si la situation en cause au principal relève du champ d’application du RGPD ou de la directive 2016/680. En effet, il ressort de la motivation de la décision de renvoi ainsi que de ces questions que le véritable objet de celles‑ci concerne le point de savoir lequel de ces actes s’applique à un traitement de données effectué par la direction d’une autorité publique, agissant en tant qu’employeur, consistant à conserver dans le dossier personnel d’un employé de cette autorité des données relatives à sa qualité de suspect dans le cadre d’une enquête pénale, alors que cette direction a obtenu ces données par l’intermédiaire d’une autre direction de la même autorité publique, cette dernière direction étant habilitée à mener ce type d’enquête.
66 Dans ces conditions, il y a lieu de considérer que, par ses première à troisième et septième à neuvième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance, si l’article 2, paragraphe 1, du RGPD et l’article 9, paragraphe 1, de la directive 2016/680 doivent être interprétés en ce sens que ce règlement s’applique à un traitement de données à caractère personnel effectué par la direction d’une autorité publique, consistant à conserver dans le dossier personnel d’un de ses agents des données relatives à sa qualité de suspect dans le cadre d’une enquête pénale (ci‑après le « traitement en cause au principal »), alors que cette direction a obtenu ces données par l’intermédiaire d’une autre direction relevant de la même autorité publique, cette dernière direction étant habilitée à mener ce type d’enquête.
67 En vertu de l’article 2, paragraphe 2, sous d), du RGPD, ce dernier ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
68 L’article 1er, paragraphe 1, de la directive 2016/680 dispose, en revanche, que celle‑ci établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
69 En outre, l’article 9, paragraphe 1, de cette directive prévoit, notamment, que, lorsque des données à caractère personnel sont traitées à des fins autres que celles énoncées à l’article 1er, paragraphe 1, de ladite directive, le RGPD s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.
70 Il s’ensuit que, si un traitement de données à caractère personnel est effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, la directive 2016/680 s’applique, tandis que si le traitement est effectué à d’autres fins, le RGPD s’applique [voir, en ce sens, arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale), C‑180/21, EU:C:2022:967, points 73 et 74 ainsi que jurisprudence citée].
71 En l’occurrence, si la collecte initiale de données à caractère personnel effectuée par la direction « Sécurité intérieure » du ministère de l’Intérieur aux fins de l’enquête visant le requérant au principal relève de la directive 2016/680, en revanche, le traitement en cause au principal, en ce que celui‑ci est effectué à des fins de gestion des ressources humaines, relève du RGPD.
72 Il importe de préciser que l’applicabilité du RGPD au traitement en cause au principal n’est pas remise en cause par la circonstance selon laquelle les informations concernées ont été obtenues par l’employeur par l’intermédiaire de la direction du ministère de l’Intérieur chargée de diligenter l’enquête visant le requérant au principal. À cet égard, la Cour a déjà jugé qu’il ressort du libellé de l’article 9, paragraphes 1 et 2, de la directive 2016/680 et de l’articulation de ces paragraphes que le RGPD s’applique à tout traitement de données à caractère personnel collectées aux fins énoncées à l’article 1er, paragraphe 1, de cette directive, à des fins autres que celles-ci, sauf si le traitement en cause ne relève pas du droit de l’Union, y compris lorsque le « responsable du traitement », au sens de l’article 3, paragraphe 8, de ladite directive, est une « autorité compétente », au sens de l’article 3, paragraphe 7, sous a), de celle-ci, et qu’il effectue le traitement de données à caractère personnel dans le cadre d’autres missions que celles exécutées aux fins énoncées à l’article 1er, paragraphe 1, de la même directive [arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale), C‑180/21, EU:C:2022:967, point 81].
73 Eu égard à ce qui précède, il convient de répondre aux première à troisième et septième à neuvième questions que l’article 2, paragraphe 1, du RGPD et l’article 9, paragraphe 1, de la directive 2016/680 doivent être interprétés en ce sens que ce règlement s’applique à l’activité exercée par la direction d’une autorité publique, consistant à conserver dans le dossier personnel d’un de ses agents des données relatives à sa qualité de suspect dans le cadre d’une enquête pénale. Il est sans incidence, à cet égard, que cette direction a obtenu ces données par l’intermédiaire d’une autre direction relevant de la même autorité publique, cette dernière direction étant habilitée à mener ce type d’enquête.
Sur les cinquième et sixième questions
74 Il convient de relever que les cinquième et sixième questions concernent, en substance, la possibilité pour l’agent concerné d’obtenir l’effacement des données en cause au principal de son dossier personnel sur le fondement de l’article 17, paragraphe 1, sous a) et d), du RGPD.
75 Il ressort du dossier soumis à la Cour que la loi nationale qui régit les activités du ministère de l’Intérieur prévoit l’obligation, pour celui‑ci, d’établir et de tenir un dossier personnel pour chaque agent de ce ministère, ainsi que d’instaurer un code de déontologie, au respect duquel ces agents sont tenus, et exige que ces derniers, pour exercer leurs fonctions, n’aient pas été condamnés, mis en examen ou poursuivis pour une infraction pénale intentionnelle de droit commun. De même, cette loi dispose que le ministre de l’Intérieur est le responsable du traitement des données effectué par ses agents et qu’il fixe les modalités du traitement des données par instruction.
76 Selon l’article 17, paragraphe 1, du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs énoncés à cette disposition s’applique.
77 Tel est le cas, conformément à l’article 17, paragraphe 1, sous a), du RGPD, lorsque les données à caractère personnel « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière » ou, conformément à cet article 17, paragraphe 1, sous d), lorsque les données en question ont fait l’objet d’un « traitement illicite ».
78 Or, ainsi que M. l’avocat général l’a relevé au point 69 de ses conclusions, il ressort d’une lecture combinée des cinquième et sixième questions ainsi que de la motivation de la demande de décision préjudicielle que, par celles‑ci, la juridiction de renvoi se demande, plus fondamentalement, afin de pouvoir se prononcer sur la demande d’effacement du requérant au principal, si la conservation des données en cause au principal dans le dossier personnel de celui-ci est licite.
79 À cet égard, il convient de rappeler que l’article 6, paragraphe 1, premier alinéa, du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite. Ainsi, pour qu’il puisse être considéré comme légitime, un traitement doit relever de l’un des cas prévus à cette disposition (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 94 et jurisprudence citée). L’article 6, paragraphe 1, premier alinéa, sous c), du RGPD prévoit qu’un traitement de données à caractère personnel est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
80 L’article 6, paragraphe 3, du RGPD précise, notamment, que le traitement visé à l’article 6, paragraphe 1, premier alinéa, sous c), de celui-ci doit être fondé sur le droit de l’Union ou sur le droit de l’État membre auquel le responsable du traitement est soumis, et que cette base juridique doit répondre à un objectif d’intérêt public et être proportionnée à l’objectif légitime poursuivi (voir, en ce sens, arrêt du 12 septembre 2024, HTB Neunte Immobilien Portfolio et Ökorenta Neue Energien Ökostabil IV, C‑17/22 et C‑18/22, EU:C:2024:738, point 67 ainsi que jurisprudence citée).
81 Il y a lieu, en outre, d’observer que le motif de licéité prévu à l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, lu en combinaison avec l’article 6, paragraphe 3, de ce règlement, est reflété à l’article 17, paragraphe 3, sous b), dudit règlement, qui exclut le droit à l’effacement prévu à l’article 17, paragraphe 1, de celui-ci, lorsque, notamment, le traitement des données est nécessaire pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis.
82 La Cour a déjà jugé que, à supposer qu’un traitement de données à caractère personnel réponde effectivement au motif de licéité prévu à l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, ce dernier, et notamment son article 6, paragraphe 3, second alinéa, consacre explicitement l’exigence d’une mise en balance entre, d’une part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, et, d’autre part, les objectifs légitimement poursuivis par le droit de l’Union ou le droit des États membres se trouvant à la base de l’obligation légale pour le respect de laquelle le traitement est nécessaire (voir, en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 124 et jurisprudence citée).
83 Dans ce contexte, il convient de rappeler que l’article 52, paragraphe 1, de la Charte admet que des limitations peuvent être apportées à l’exercice de droits tels que ceux consacrés par les articles 7 et 8 de celle-ci, pour autant que ces limitations sont prévues par la loi, qu’elles respectent le contenu essentiel de ces droits et libertés et que, dans le respect du principe de proportionnalité, elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui [arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 58 ainsi que jurisprudence citée].
84 Dans ces conditions et eu égard à la jurisprudence exposée au point 64 du présent arrêt, il convient de considérer que, par ses cinquième et sixième questions, la juridiction de renvoi demande, en substance, si l’article 17, paragraphe 3, sous b), du RGPD, lu en combinaison avec l’article 6, paragraphe 1, premier alinéa, sous c), et l’article 6, paragraphe 3, de celui-ci ainsi qu’à la lumière de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens que la conservation, dans le dossier personnel d’un agent de police, à des fins de gestion de la carrière de celui-ci et de contrôle du respect, par cet agent, des règles inhérentes à ses fonctions, de données à caractère personnel relatives à sa qualité de suspect dans le cadre d’une enquête pénale suspendue, ledit agent n’ayant été ni accusé ni poursuivi pour l’infraction concernée, peut être considérée comme étant justifiée aux fins du respect d’une obligation légale auquel l’autorité publique, employeur dudit agent, est soumise sur le fondement du droit national.
85 À titre liminaire, il y a lieu de rappeler que, selon l’article 1er, paragraphe 2, du RGPD, lu en combinaison avec les considérants 4 et 10 de celui-ci, ce règlement a notamment pour objet de garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel, ce droit étant également reconnu à l’article 8 de la Charte et étroitement lié au droit au respect de la vie privée, consacré à l’article 7 de celle-ci (voir, en ce sens, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 61).
86 À cet égard, conformément à la jurisprudence constante de la Cour, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données fixés à l’article 5 du RGPD et, d’autre part, eu égard en particulier au principe de la licéité du traitement, prévu au paragraphe 1, sous a), de cet article 5, répondre à l’une des conditions de licéité du traitement énumérées à l’article 6 de ce règlement (arrêt du 7 mars 2024, Endemol Shine Finland, C‑740/22, EU:C:2024:216, point 45 et jurisprudence citée).
87 Il convient également de rappeler que, conformément à l’article 5 du RGPD, c’est sur le responsable du traitement que repose la charge de prouver que ces données sont notamment collectées pour des finalités déterminées, explicites et légitimes, qu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées et qu’elles sont traitées de manière licite, loyale et transparente au regard de la personne concernée (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 97 et jurisprudence citée).
88 Par ailleurs, les justifications prévues à l’article 6, paragraphe 1, premier alinéa, sous b) à f), de ce règlement, en ce qu’elles permettent de rendre licite un traitement de données à caractère personnel effectué en l’absence du consentement de la personne concernée, doivent faire l’objet d’une interprétation restrictive (arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 96 et jurisprudence citée).
89 S’il appartient à la juridiction de renvoi de déterminer si un traitement tel que celui en cause au principal est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, au sens de l’article 17, paragraphe 3, sous b), du RGPD, lu en combinaison avec l’article 6, paragraphe 1, premier alinéa, sous c), et l’article 6, paragraphe 3, de celui-ci, la Cour peut néanmoins lui fournir des indications utiles afin de lui permettre de trancher le litige dont elle est saisie (voir, en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 98 et jurisprudence citée)
90 Ainsi que cela ressort du dossier de la Cour et, notamment, des explications fournies par le gouvernement bulgare lors de l’audience, la conservation des données en cause au principal repose sur plusieurs dispositions d’instructions, adoptées par le ministre de l’Intérieur sur le fondement du ZMVR, en vue de se conformer aux obligations légales qui s’imposent à lui en vertu de cette loi en matière de gestion des dossiers personnels des agents et de responsabilité disciplinaire de ceux‑ci et en vertu de l’habilitation qui lui est conférée par celle-ci pour exercer un pouvoir réglementaire. Par conséquent, il paraît résulter de ces éléments que le traitement des données en cause au principal est susceptible d’être nécessaire au respect d’obligations légales, au sens de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, prévues par la législation nationale applicable, lesquelles sont mises en œuvre par l’autorité publique responsable du traitement dans des instructions à caractère réglementaire constituant ainsi la base juridique du traitement de données effectué par ses agents.
91 Se pose donc la question de savoir si le fondement du traitement, au sens de l’article 6, paragraphe 3, du RGPD, peut résulter d’un acte réglementaire adopté par une autorité publique d’un État membre en vertu d’une habilitation légale prévue dans un acte législatif pour satisfaire aux obligations légales qui s’imposent à elle en vertu de ce dernier.
92 Ainsi qu’il ressort du considérant 41 du RGPD, lorsque ce règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les personnes concernées, conformément à la jurisprudence de la Cour et de la Cour européenne des droits de l’homme.
93 En outre, le considérant 19 du RGPD précise que, en ce qui concerne le traitement de données à caractère personnel par les autorités compétentes, au sens de la directive 2016/680, à des fins relevant du champ d’application du RGPD, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles de ce règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l’État membre concerné.
94 Par conséquent, il doit en être déduit que l’article 6, paragraphe 3, du RGPD ne s’oppose pas à ce que la base juridique d’un traitement de données à caractère personnel soit définie par l’autorité publique responsable du traitement dans un acte réglementaire visant à mettre en œuvre les obligations légales qui s’imposent à elle, au sens de l’article 6, paragraphe 1, premier alinéa, sous c), de ce règlement, pour autant que cette autorité soit habilitée par le droit national à adopter cet acte, que cette base juridique soit claire et précise et que son application soit prévisible pour les personnes concernées.
95 En l’occurrence, il ressort du dossier dont dispose la Cour que les instructions du ministre de l’Intérieur constituent des actes réglementaires adoptés sur le fondement de l’habilitation légale prévue par le ZMVR et sont publiées au journal officiel bulgare. Toutefois, il convient encore de vérifier, en particulier, si les finalités du traitement sont définies de manière claire et précise dans cette base juridique, conférant ainsi à l’application de celle-ci un caractère prévisible, conformément à l’article 6, paragraphe 3, du RGPD, lu à la lumière du considérant 41 de ce règlement.
96 À ce dernier égard, il ressort du dossier soumis à la Cour que les instructions de cette autorité se réfèrent, s’agissant des documents qui doivent figurer dans le dossier personnel de l’agent, aux documents relatifs à des procédures disciplinaires.
97 Il incombe à la juridiction de renvoi d’apprécier si, eu égard à l’ensemble des dispositions pertinentes en droit bulgare, une telle mention peut être interprétée de manière suffisamment claire, précise et prévisible comme incluant la conservation de données relatives à une enquête pénale visant un agent, même lorsque ce dernier n’a été ni accusé ni poursuivi pour l’infraction concernée et que cette enquête n’a pas donné lieu à des procédures disciplinaires.
98 Dans l’affirmative, il convient de s’interroger sur le point de savoir si, conformément à l’article 6, paragraphe 3, second alinéa, du RGPD, l’obligation légale concernée, en ce qu’elle impose un traitement de données à caractère personnel tel que celui en cause au principal, répond à un objectif d’intérêt public et est proportionnée à l’objectif légitime poursuivi.
99 S’agissant du point de savoir si la réglementation nationale concernée répond à un objectif d’intérêt public, le gouvernement bulgare a soutenu, en substance, qu’il existe un intérêt public à conserver des données telles que celles en cause au principal, eu égard aux fonctions spécifiques dont sont chargés les agents de police, lesquelles consistent, en particulier, à préserver l’ordre public et à protéger la population.
100 À cet égard, il est généralement admis, ainsi que M. l’avocat général l’a fait observer au point 86 de ses conclusions, que les fonctions d’agent de police exigent le respect par ce dernier de règles de conduite strictes et, ainsi qu’il découle du point 45 du présent arrêt, en Bulgarie, les agents de police doivent satisfaire à des critères moraux et éthiques plus élevés que d’autres catégories de salariés ou d’employés démontrant ainsi qu’ils disposent des qualités professionnelles et humaines nécessaires à l’exercice de leurs fonctions. Au demeurant, ainsi qu’il a été relevé au point 75 de cet arrêt, ces règles de conduite et ces critères sont consacrés explicitement par la loi nationale régissant les activités du ministère de l’Intérieur et de ses agents.
101 Ainsi, il peut être considéré que le fait d’imposer la satisfaction de tels critères aux agents de police relève d’un objectif d’intérêt public et, par conséquent, légitime, au sens de l’article 6, paragraphe 3, du RGPD, à savoir, en substance, celui de garantir la probité d’un personnel chargé, notamment, de préserver l’ordre public et de protéger la population.
102 Par conséquent, un tel objectif légitime est susceptible de justifier la conservation, dans le dossier personnel d’un policier, des informations ayant trait, notamment, à la qualité de suspect de ce dernier dans le cadre d’une enquête pénale, lorsque cette enquête pénale est en cours ou que celle-ci a abouti à des poursuites ou à une condamnation à son égard, dans la mesure où l’autorité compétente peut être tenue, dans de tels cas de figure, afin d’assurer le respect des règles de conduite et des critères visés au point 100 du présent arrêt, de prendre des mesures conservatoires ou, le cas échéant, disciplinaires.
103 En revanche, dans une situation telle que celle en cause au principal où l’enquête pénale visant l’agent de police concerné a été finalement suspendue, l’identité de l’auteur des faits n’ayant pas pu être établie, et où il a été conclu à l’absence de preuve de la commission d’une infraction par ce policier et qu’aucune procédure disciplinaire n’a été engagée contre ce dernier, il ne ressort pas des éléments du dossier dont dispose la Cour qu’une réglementation nationale prévoyant la conservation de données relatives à une telle enquête soit apte à satisfaire cet objectif légitime.
104 À supposer, néanmoins, que la juridiction de renvoi parvienne à la conclusion que la réglementation nationale en cause dans le litige au principal répond à un objectif légitime, il lui appartient, en outre, d’apprécier si la réglementation nationale imposant ce traitement est proportionnée. En particulier, s’agissant de la conservation de ces données, l’article 17, paragraphe 3, sous b), du RGPD doit être interprété en combinaison avec l’article 5, paragraphe 1, sous e), de ce règlement, en ce sens que, lorsque la durée de conservation desdites données excède celle nécessaire au respect de cette obligation, la personne concernée est susceptible de recouvrer son droit à l’effacement de celles-ci, notamment pour le motif énoncé à l’article 17, paragraphe 1, sous a), dudit règlement. Il appartiendra donc, le cas échéant, à la juridiction de renvoi de vérifier si la durée de conservation des données relatives à la procédure pénale dont le requérant au principal faisait l’objet n’a pas été excessive.
105 Il convient d’ajouter que, dans la mesure où les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II de ce règlement, lequel est relatif aux « principes », ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, dudit règlement, le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, les autres dispositions de ce chapitre II qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 58 et jurisprudence citée].
106 Or, les données en cause au principal constituent des données à caractère personnel « relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes », au sens de l’article 10 du RGPD, dont le traitement est soumis aux conditions de licéité additionnelles prévues à cet article 10, et ce indépendamment du fait que, au cours de l’enquête pénale, la commission de l’infraction pour laquelle la personne était suspectée n’a pas été établie. En particulier, conformément à cette disposition, un traitement relatif à ces données « ne peut être effectué que sous le contrôle de l’autorité publique », à moins qu’il ne soit « autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées » [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, points 72 et 73].
107 En l’occurrence, ainsi que M. l’avocat général l’a constaté au point 98 de ses conclusions, le traitement en cause au principal est réalisé exclusivement au sein du ministère de l’Intérieur, lequel a la qualité de responsable du traitement. Par conséquent, ce traitement est effectué « sous le contrôle de l’autorité publique », au sens de l’article 10 du RGPD.
108 Enfin, quant à la demande d’effacement au titre de l’article 17 du RGPD en cause au principal, il convient de relever que, ainsi que l’a indiqué la Commission européenne, dans l’hypothèse où la juridiction de renvoi devrait conclure, au terme de son appréciation de la licéité dudit traitement, que ce dernier ne l’est pas, il incomberait au ministère de l’Intérieur, en tant que responsable du traitement, conformément à l’article 17, paragraphe 1, sous d), du RGPD, d’effacer les données concernées dans les meilleurs délais, dans la mesure où aucune des exceptions prévues à l’article 17, paragraphe 3, du RGPD ne trouverait à s’appliquer (voir en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 118 et jurisprudence citée).
109 Eu égard à ce qui précède, il convient de répondre aux cinquième et sixième questions que l’article 17, paragraphe 3, sous b), du RGPD, lu en combinaison avec l’article 6, paragraphe 1, premier alinéa, sous c), et l’article 6, paragraphe 3, de celui-ci ainsi qu’à la lumière de l’article 52, paragraphe 1, de la Charte, doit être interprété en ce sens que la conservation, dans le dossier personnel d’un agent de police, à des fins de gestion de la carrière de celui-ci et de contrôle du respect, par cet agent, des règles inhérentes à ses fonctions, de données à caractère personnel relatives à sa qualité de suspect dans le cadre d’une enquête pénale suspendue, ledit agent n’ayant été ni accusé ni poursuivi pour l’infraction concernée, peut être considérée comme étant justifiée aux fins du respect d’une obligation légale auquel l’autorité publique, employeur dudit agent, est soumise sur le fondement du droit national, à condition que cette base juridique soit claire et précise, que son application soit prévisible pour les personnes concernées et que cette obligation réponde à un objectif d’intérêt public et est proportionnée à celui‑ci.
Sur la dixième question
110 Eu égard aux réponses aux première à troisième et cinquième à neuvième questions, dont il ressort que la demande d’effacement des données en cause au principal relève du RGPD et, en particulier, de l’article 17 de celui‑ci, il n’y a pas lieu de répondre à la dixième question, dès lors qu’elle porte sur la même demande, mais au titre de l’article 16, paragraphe 2, de la directive 2016/680.
Sur la onzième question
111 Par sa onzième question, la juridiction de renvoi demande, en substance, si l’article 1er de la directive 2000/78 doit être interprété en ce sens que cette directive s’oppose à ce qu’une autorité publique, dont une direction est chargée de mener les enquêtes pénales visant les agents employés par cette autorité, refuse, en sa qualité d’employeur, de promouvoir l’un de ses agents au seul motif qu’il a eu la qualité de suspect dans le cadre d’une telle enquête finalement suspendue, cet agent n’ayant été ni accusé ni poursuivi pour l’infraction concernée.
112 À cet égard, il convient de rappeler que, ainsi qu’il ressort de l’article 1er de la directive 2000/78, cette dernière a pour objet d’établir un cadre général pour lutter, en ce qui concerne l’emploi et le travail, contre les discriminations fondées sur la religion ou les convictions, le handicap, l’âge ou l’orientation sexuelle. Or, ainsi qu’il découle, notamment, de l’article 2, paragraphe 1, de cette directive, ces motifs sont énumérés de manière exhaustive (voir, en ce sens, arrêts du 21 mai 2015, SCMD, C‑262/14, EU:C:2015:336, point 29 et jurisprudence citée, ainsi que du 9 mars 2017, Milkova, C‑406/15, EU:C:2017:198, point 34 et jurisprudence citée).
113 Le refus d’un avancement professionnel fondé sur la qualité de suspect d’une personne ayant fait l’objet d’une enquête pénale finalement suspendue ne relève pas, dès lors, du champ d’application de la directive 2000/78.
114 Par ailleurs, en ce qui concerne les discriminations fondées sur la relation de travail en tant que telle, la Cour a jugé qu’une telle discrimination ne relève pas du cadre général établi par la directive 2000/78 (arrêt du 9 mars 2017, Milkova, C‑406/15, EU:C:2017:198, point 44 et jurisprudence citée).
115 Partant, il convient de répondre à la onzième question que l’article 1er de la directive 2000/78 doit être interprété en ce sens que cette directive n’est pas applicable lorsqu’une autorité publique, dont une direction est chargée de mener les enquêtes pénales visant les agents employés par cette autorité, refuse, en sa qualité d’employeur, de promouvoir l’un de ses agents au seul motif qu’il a eu la qualité de suspect dans le cadre d’une telle enquête finalement suspendue, cet agent n’ayant été ni accusé ni poursuivi pour l’infraction concernée.
Sur les dépens
116 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (cinquième chambre) dit pour droit :
1) L’article 2, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données), et l’article 9, paragraphe 1, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil,
doivent être interprétés en ce sens que :
ce règlement s’applique à l’activité exercée par la direction d’une autorité publique, consistant à conserver dans le dossier personnel d’un de ses agents des données relatives à sa qualité de suspect dans le cadre d’une enquête pénale. Il est sans incidence, à cet égard, que cette direction a obtenu ces données par l’intermédiaire d’une autre direction relevant de la même autorité publique, cette dernière direction étant habilitée à mener ce type d’enquête.
2) L’article 17, paragraphe 3, sous b), du règlement 2016/679, lu en combinaison avec l’article 6, paragraphe 1, premier alinéa, sous c), et l’article 6, paragraphe 3, de celui-ci ainsi qu’à la lumière de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
la conservation, dans le dossier personnel d’un agent de police, à des fins de gestion de la carrière de celui-ci et de contrôle du respect, par cet agent, des règles inhérentes à ses fonctions, de données à caractère personnel relatives à sa qualité de suspect dans le cadre d’une enquête pénale suspendue, ledit agent n’ayant été ni accusé ni poursuivi pour l’infraction concernée, peut être considérée comme étant justifiée aux fins du respect d’une obligation légale auquel l’autorité publique, employeur dudit agent, est soumise sur le fondement du droit national, à condition que cette base juridique soit claire et précise, que son application soit prévisible pour les personnes concernées et que cette obligation réponde à un objectif d’intérêt public et est proportionnée à celui‑ci.
3) L’article 1er de la directive 2000/78/CE du Conseil, du 27 novembre 2000, portant création d’un cadre général en faveur de l’égalité de traitement en matière d’emploi et de travail,
doit être interprété en ce sens que :
cette directive n’est pas applicable lorsqu’une autorité publique, dont une direction est chargée de mener les enquêtes pénales visant les agents employés par cette autorité, refuse, en sa qualité d’employeur, de promouvoir l’un de ses agents au seul motif qu’il a eu la qualité de suspect dans le cadre d’une telle enquête finalement suspendue, cet agent n’ayant été ni accusé ni poursuivi pour l’infraction concernée.
Signatures
* Langue de procédure : le bulgare.
i Le nom de la présente affaire est un nom fictif. Il ne correspond au nom réel d’aucune partie à la procédure.
Ordonnance du président du Tribunal du 12 juin 2026.#Elettra 1938 SpA contre Commission européenne.#Référé – Concurrence – Décision de la Commission infligeant une amende – Garantie bancaire – Demande de mesures provisoires – Fumus boni juris – Urgence – Mise en balance des intérêts.#Affaire T-140/26 R.
12/06/2026
Arrêt de la Cour (quatrième chambre) du 11 juin 2026.#NKO AO National Settlement Depository (NSD) contre Conseil de l'Union européenne.#Pourvoi – Mesures restrictives prises au regard de l’agression militaire contre l’Ukraine – Décision 2014/145/PESC – Article 2, paragraphe 1, sous f) – Règlement (UE) no 269/2014 – Article 3, paragraphe 1, sous f) – Gel de fonds et de ressources économiques – Notion de “soutien matériel ou financier au gouvernement de la Fédération de Russie” – Obligation de motivation – Interprétation – Droit de propriété – Limitations – Principe de proportionnalité – Prise en compte de la situation des clients de la requérante et de leurs intérêts économiques.#Affaire C-801/24 P.
11/06/2026
Arrêt de la Cour (quatrième chambre) du 11 juin 2026.#Centro Petroli Roma Srl contre Agenzia delle Dogane e dei Monopoli.#Renvoi préjudiciel – État de droit – Indépendance des juges – Article 267 TFUE – Obligation de renvoi préjudiciel des juridictions nationales statuant en dernier ressort – Responsabilité individuelle des juges – Fiscalité – Régime général d’accise – Directive 2008/118/CE – Article 16, paragraphe 1 – Entrepôt fiscal – Ouverture et exploitation – Autorisation – Conditions – Fixation par la réglementation nationale – Distinction selon la capacité de stockage des entrepôts – Critère tenant à l’existence de “réelles nécessités opérationnelles et [d’un] besoin effectif d’approvisionnement de l’installation” pour tous les entrepôts – Critère supplémentaire tenant à la livraison d’une quantité minimale de produits sur une période de référence ou à la dépendance à un autre entrepôt fiscal pour les entrepôts de petite capacité – Justification – Principe de proportionnalité.#Affaire C-386/24.
11/06/2026
Arrêt de la Cour (quatrième chambre) du 11 juin 2026.#LH contre OTP banka d.d., anciennement NOVA KREDITNA BANKA MARIBOR.#Renvoi préjudiciel – Rapprochement des législations – Services financiers – Accès à un compte de paiement assorti de prestations de base – Directive 2014/92/UE – Article 16, paragraphe 4 – Prévention de l’utilisation du système financier aux fins du blanchiment de capitaux et du financement du terrorisme – Directive (UE) 2015/849 – Consommateur figurant sur la liste de l’Office du contrôle des actifs étrangers du Trésor américain – Refus d’ouverture d’un tel compte de paiement.#Affaire C-81/24.
11/06/2026