| CELEX | 62024CJ0484 |
| Type | Jurisprudence CJUE |
| Date | jeudi 18 juin 2026 |
ARRÊT DE LA COUR (cinquième chambre)
18 juin 2026 (*)
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous e) – Limitation de la conservation – Article 6, paragraphe 1, premier alinéa, sous e) – Licéité du traitement desdites données relatif à un contrat de travail dans le cadre d’une procédure judiciaire – Article 17, paragraphe 3, sous e) – Absence d’obligation de procéder à l’effacement des mêmes données en cas de traitement nécessaire à la constatation, à l’exercice ou à la défense de droits en justice – Données collectées par l’employeur en vue d’établir un manquement grave de l’employé à ses obligations – Utilisation de preuves obtenues de manière illégale »
Dans l’affaire C‑484/24,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe, Allemagne), par décision du 8 mai 2024, parvenue à la Cour le 10 juillet 2024, dans la procédure
NTH Haustechnik GmbH
contre
EM,
LA COUR (cinquième chambre),
composée de Mme M. L. Arastey Sahún, présidente de chambre, MM. J. Passer, E. Regan (rapporteur), D. Gratsias et B. Smulders, juges,
avocat général : M. D. Spielmann,
greffier : M. G. Chiapponi, administrateur,
vu la procédure écrite et à la suite de l’audience du 2 juillet 2025,
considérant les observations présentées :
– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,
– pour le gouvernement hongrois, par M. M. Z. Fehér, Mmes K. Szíjjártó et Zs. Biró-Tóth, en qualité d’agents,
– pour le gouvernement finlandais, par Mmes A. Laine et H. Leppo, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 16 octobre 2025,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation des articles 5, 6, 9, 13 et 17 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant NTH Haustechnik GmbH (ci-après « NTH ») à son ancienne employée EM au sujet de la réparation du préjudice que cette société aurait subi en raison de la revente en ligne non autorisée de biens lui appartenant.
Le cadre juridique
Le droit de l’Union
3 Les considérants 1, 2, 4, 7, 10, 20, 39 et 41 du RGPD disposent :
« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne (ci-après dénommée « Charte ») et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
(2) Les principes et les règles régissant la protection des personnes physiques à l’égard du traitement des données à caractère personnel les concernant devraient, quelle que soit la nationalité ou la résidence de ces personnes physiques, respecter leurs libertés et droits fondamentaux, en particulier leur droit à la protection des données à caractère personnel. Le présent règlement vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice et d’une union économique, au progrès économique et social, à la consolidation et à la convergence des économies au sein du marché intérieur, ainsi qu’au bien-être des personnes physiques.
[...]
(4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[...]
(7) Ces évolutions requièrent un cadre de protection des données solide et plus cohérent dans l’Union [européenne], assorti d’une application rigoureuse des règles, car il importe de susciter la confiance qui permettra à l’économie numérique de se développer dans l’ensemble du marché intérieur. Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques.
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)], il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. Le présent règlement laisse aussi aux États membres une marge de manœuvre pour préciser ses règles, y compris en ce qui concerne le traitement de catégories particulières de données à caractère personnel [...] À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.
[...]
(20) Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.
[...]
(39) Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...]
[...]
(41) Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour de justice de l’Union européenne [...] et de la Cour européenne des droits de l’homme. »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose :
« 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »
5 L’article 2 du RGPD, intitulé « Champ d’application matériel », prévoit, à ses paragraphes 1 et 2 :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité [UE] ;
c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »
6 L’article 4 du RGPD, intitulé « Définition », dispose :
« Aux fins du présent règlement, on entend par :
[...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;
[...]
6) “fichier”, tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
[...] »
7 Le chapitre II du RGPD, intitulé « Principes », comporte les articles 5 à 11 de celui-ci.
8 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1 :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
[...]
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
[...] »
9 L’article 6 du RGPD, intitulé « Licéité du traitement », dispose :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement :
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :
a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;
b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;
c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;
d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;
e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »
10 L’article 9 du RGPD, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », prévoit :
« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :
[...]
f) le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle ;
[...]
3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l’objet d’un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l’Union, au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l’Union ou au droit d’un État membre ou aux règles arrêtées par les organismes nationaux compétents.
4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. »
11 Le chapitre III du RGPD, intitulé « Droits de la personne concernée », comporte les articles 12 à 23 de celui-ci.
12 L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », dispose :
« 1. Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; et
f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition ;
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données ;
c) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
e) des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
f) l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.
3. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.
4. Les paragraphes 1, 2 et 3 ne s’appliquent pas lorsque, et dans la mesure où, la personne concernée dispose déjà de ces informations. »
13 L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
[...]
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
[...]
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
[...] »
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :
[...]
e) à la constatation, à l’exercice ou à la défense de droits en justice. »
14 L’article 23 du RGPD, intitulé « Limitations », dispose :
« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
[...]
e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre [...]
f) la protection de l’indépendance de la justice et des procédures judiciaires ;
[...]
i) la protection de la personne concernée ou des droits et libertés d’autrui ;
j) l’exécution des demandes de droit civil.
2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant :
a) aux finalités du traitement ou des catégories de traitement ;
b) aux catégories de données à caractère personnel ;
c) à l’étendue des limitations introduites ;
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement ;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;
g) aux risques pour les droits et libertés des personnes concernées ; et
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. »
Le droit allemand
La loi fondamentale de la République fédérale d’Allemagne
15 L’article 92 du Grundgesetz für die Bundesrepublik Deutschland (Loi fondamentale de la République fédérale d’Allemagne), du 23 mai 1949 (BGBl. 1949 I, p. 1 ), énonce :
« Le pouvoir de rendre la justice est confié aux juges ; il est exercé par le Bundesverfassungsgericht (Cour constitutionnelle fédérale,Allemagne), par les cours fédérales prévues par la présente Loi fondamentale et par les tribunaux des Länder. »
Le code de procédure civile
16 L’article 138 de la Zivilprozessordnung (code de procédure civile), dans sa version applicable au litige au principal, intitulé « Obligation d’expliquer les faits ; obligation de vérité », dispose :
« (1) Les parties doivent fournir leurs explications sur les circonstances de fait de manière complète et dans le respect de la vérité.
(2) Chaque partie doit s’expliquer sur les faits allégués par l’adversaire.
(3) Les faits qui ne sont pas expressément contestés sont considérés comme étant acceptés lorsqu’il ne résulte pas des autres déclarations de la partie qu’elle avait l’intention de les contester.
(4) Une partie ne peut arguer de son ignorance que pour des actes qui ne sont pas de son propre fait et dont elle n’a pas eu conscience. »
17 L’article 286 de ce code, intitulé « Libre appréciation des preuves », prévoit :
« (1) Au regard de l’ensemble des débats et des conclusions d’une éventuelle instruction, le tribunal décide librement, selon sa propre conviction, s’il y a lieu de considérer une allégation de fait comme étant vraie ou fausse. Il indique dans sa décision les motifs qui justifient sa conviction.
(2) Le tribunal n’est lié par les règles légales en matière de preuve que dans les cas visés par la présente loi. »
18 L’article 355 dudit code, intitulé « Caractère immédiat de l’administration de la preuve », est libellé comme suit :
« (1) L’instruction a lieu devant la juridiction du fond. Elle ne peut être confiée à un membre de cette juridiction ou à une autre juridiction que dans les cas prévus par la présente loi.
(2) La décision ordonnant l’un ou l’autre mode d’administration de la preuve n’est pas susceptible de recours. »
La loi fédérale sur la protection des données
19 L’article 3 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 30 juin 2017 (BGBl. 2017 I, p. 2097), dans sa version applicable au litige au principal, intitulé « Traitement des données à caractère personnel par les autorités publiques », dispose :
« Le traitement de données à caractère personnel par un organisme public est autorisé s’il est nécessaire à l’exécution d’une mission relevant de la compétence du responsable du traitement ou de l’exercice de l’autorité publique dont celui-ci est investi.
[...] »
20 L’article 26 de la loi fédérale sur la protection des données, dans sa version applicable au litige au principal, intitulé « Traitement des données aux fins de la relation de travail », prévoit :
« (1) Les données à caractère personnel des employés peuvent faire l’objet d’un traitement pour les besoins de la relation de travail si cela est nécessaire pour décider de l’établissement d’une relation de travail ou, après l’établissement de la relation de travail, pour son exécution ou sa résiliation, ou pour l’exercice des droits ou le respect des obligations respectivement liés à la représentation des intérêts des employés découlant d’une loi ou d’un instrument de réglementation collective de travail, d’un accord d’entreprise ou de service (convention collective). Afin de détecter des infractions pénales, les données à caractère personnel des employés peuvent faire l’objet d’un traitement à condition qu’il existe une suspicion fondée sur des indices concrets, devant être établis, selon laquelle la personne concernée a commis un délit dans le cadre de la relation de travail, que le traitement soit nécessaire à la détection de l’infraction et que l’intérêt légitime du ou des employés à exclure le traitement ne prévale pas, et, en particulier, que la nature et l’étendue du traitement ne soient pas disproportionnées par rapport aux motifs qui en sont à l’origine.
(2) Lorsque le traitement des données à caractère personnel des employés est effectué sur la base d’un consentement, il y a lieu, pour apprécier si le consentement a été donné librement, de tenir compte, notamment, de la dépendance de l’employé dans la relation de travail ainsi que des circonstances dans lesquelles le consentement a été donné. Le caractère libre du consentement peut être avéré notamment s’il existe, pour l’employé, un avantage juridique ou économique, ou si l’employeur et l’employé ont des intérêts convergents. Le consentement doit être établi par écrit ou par voie électronique, sauf si une autre forme s’impose en raison de circonstances particulières. L’employeur est tenu d’informer l’employé par écrit de la finalité du traitement des données et de son droit de retirer son consentement, qui est prévu à l’article 7, paragraphe 3, du [RGPD].
[...]
(5) Le responsable du traitement doit prendre les mesures appropriées pour veiller au respect, en particulier, des principes régissant le traitement des données à caractère personnel énoncés à l’article 5 du [RGPD].
(6) Les droits de participation des organisations représentatives des employés restent inchangés.
(7) Les paragraphes 1 à 6 s’appliquent également lorsque des données à caractère personnel, y compris de catégories particulières de données à caractère personnel des employés, sont traitées sans qu’elles soient contenues ou destinées à être contenues dans un fichier.
(8) Sont “employés”, au sens de la présente loi :
1. Les travailleurs, y compris les travailleurs intérimaires dans la relation avec l’utilisateur,
[...] »
Le litige au principal et les questions préjudicielles
21 NTH, une entreprise de chauffage et de climatisation, a employé EM qui était marié au gérant de NTH.
22 Le 31 octobre 2019, la relation de travail entre NTH et EM a pris fin. Par la suite, et ce jusqu’à sa séparation d’avec le gérant de NTH survenue le 26 juin 2022, EM a continué d’avoir accès aux locaux de NTH et d’utiliser les ordinateurs qui s’y trouvaient.
23 Immédiatement après cette séparation, agissant essentiellement par l’intermédiaire de son employé F., qui est le fils du gérant de NTH et d’EM, NTH a établi qu’EM avait vendu pour son propre compte, par l’intermédiaire de la plateforme de vente en ligne eBay, des biens dont NTH revendique la propriété, pour une valeur globale à la revente de 13 217,09 euros. Eu égard au prix d’achat de ces biens et au montant des frais administratifs occasionnés par la nécessité de les remplacer, le montant total du préjudice ainsi subi par NTH s’élèverait à 46 567,91 euros.
24 EM conteste avoir vendu lesdits biens à l’insu de NTH. En effet, ces derniers auraient principalement été soit des biens retournés par des clients, soit des biens défectueux ou dépassés que NTH n’aurait pu utiliser et qui n’auraient donc plus eu de valeur pour cette dernière. NTH les aurait cédés à titre gratuit à EM, qui les aurait vendus pour subvenir aux charges du ménage qu’elle formait avec le gérant de NTH.
25 Le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe, Allemagne), qui est la juridiction de renvoi, indique que NTH a eu connaissance des ventes réalisées par EM en accédant au compte privé de cette dernière sur la plateforme de vente en ligne eBay. Pour ce faire, l’employé F. a utilisé l’identifiant et le mot de passe d’EM sur cette plateforme de vente.
26 S’agissant du moyen par lequel cet employé a eu connaissance de cet identifiant et de ce mot de passe, le gérant de NTH affirme que l’employé F a obtenu des informations sur l’utilisation de ladite plateforme par EM en consultant l’historique de navigation de l’ordinateur lui appartenant, utilisé par EM, et qu’il a eu connaissance dudit mot de passe en consultant un « dossier familial » créé sur son serveur. EM, quant à elle, affirme ne pas avoir conservé le même mot de passe dans des espaces de stockage informatique de NTH. En revanche, elle soutient que le gérant de NTH a déclaré avoir perdu le téléphone portable enregistré au nom de l’entreprise qu’elle utilisait afin de pouvoir demander une nouvelle carte SIM (Subscriber Identity Module, module d’identification de l’abonné) à l’opérateur téléphonique concerné, ce qui lui aurait permis d’utiliser le numéro de téléphone associé à ce téléphone pour modifier, sur la même plateforme, le mot de passe de son compte privé et y accéder.
27 La juridiction de renvoi n’exclut pas que la collecte de données à laquelle a procédé NTH pour avoir connaissance des ventes effectuées par EM sur la plateforme de vente en ligne eBay ait été réalisée de manière illégale.
28 En tout état de cause, cette juridiction indique être encline à considérer que les données collectées par NTH constituent un traitement de données, au sens du RGPD.
29 Toutefois, selon ladite juridiction, la jurisprudence de la Cour ne permet pas de déterminer clairement, tout d’abord, si les règles du droit procédural allemand sont suffisamment précises pour satisfaire aux exigences du RGPD, notamment en ce qui concerne les critères à appliquer pour déterminer dans quelles circonstances l’utilisation de telles données est interdite, ensuite, si les juridictions allemandes peuvent s’appuyer sur l’article 17, paragraphe 3, sous e), du RGPD dans le cadre de l’exercice de leur fonction juridictionnelle pour traiter ces données et, enfin, quels sont les critères au regard desquels il y a lieu d’apprécier, de façon circonstanciée, si le traitement de données effectué dans le cadre de l’exercice de cette fonction est autorisé, en particulier lorsque, comme en l’occurrence, des données pourraient avoir été collectées de manière illicite par une partie.
30 En particulier, la juridiction de renvoi relève, en premier lieu, que, en vertu de l’article 6, paragraphe 3, premier alinéa, du RGPD, le fondement du traitement visé au paragraphe 1, premier alinéa, sous c) et e), de cet article est, en l’absence de dispositions du droit de l’Union, défini par le droit de l’État membre auquel le responsable de ce traitement est soumis et qui doit, selon la lecture que cette juridiction fait du second alinéa de cet article 6, paragraphe 3, définir les finalités dudit traitement. En outre, selon ladite juridiction, il ressort de la jurisprudence de la Cour issue de l’arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C‑175/20, EU:C:2022:124, point 83), que, pour satisfaire à l’exigence de proportionnalité dont l’article 5, paragraphe 1, sous c), du RGPD constitue une expression spécifique, la réglementation qui fonde le même traitement doit prévoir des règles claires et précises régissant la portée ainsi que l’application de la mesure en cause et imposant des exigences minimales, et, en particulier, indiquer en quelles circonstances et à quelles conditions une mesure prévoyant un tel traitement peut être prise.
31 Dès lors, la juridiction de renvoi se demande si l’article 6, paragraphe 3, second alinéa, du RGPD doit être interprété en ce sens que, lorsqu’une juridiction adopte dans l’exercice de sa fonction juridictionnelle un acte comportant une ingérence dans les droits fondamentaux d’une partie et procède au traitement de données qui y est lié, il suffit que ce traitement soit nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, ou s’il y a lieu, eu égard, notamment, à l’article 8, paragraphe 2, de la Charte, d’exiger que la base juridique dudit traitement comporte des précisions relatives aux circonstances et les conditions dans lesquelles les données qui sont produites par les parties peuvent être utilisées par cette juridiction.
32 Pour le cas où la Cour parviendrait à la conclusion que les actes juridictionnels de traitement de données qui emportent des atteintes à des droits fondamentaux doivent être fondés sur des dispositions légales comportant de telles précisions, la juridiction de renvoi demande si des règles nationales, telles que celles en cause au principal, satisfont aux exigences énoncées par le RGPD. En effet, ces règles ne comportent pas d’indication sur les conditions devant être remplies, ou sur les critères qui doivent être mis en balance, afin de pouvoir établir s’il est permis à une juridiction de tenir compte des éléments de fait qu’invoque une partie ou d’administrer les offres de preuve de celle-ci. En particulier, la juridiction de renvoi s’interroge sur l’incidence de l’absence de disposition régissant les cas où la partie concernée a obtenu de manière illicite les données à caractère personnel sur lesquelles elle se fonde ou les cas où elle s’appuie sur des preuves qu’elle a obtenues en utilisant de manière illicite des données à caractère personnel. Elle s’interroge également sur l’incidence du caractère exclusivement jurisprudentiel de règles régissant, dans le droit allemand, l’utilisation de telles données.
33 En deuxième lieu, la juridiction de renvoi relève que, dans sa jurisprudence, le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) a indiqué qu’il résultait clairement de l’article 17 du RGPD que le traitement de données à caractère personnel par une juridiction est envisageable, même si la collecte de ces données, à laquelle une partie a procédé à un stade précontentieux ou extrajudiciaire, se révèle illégale en vertu du RGPD ou du droit de la protection des données national concerné et que, par conséquent, il n’y avait pas lieu de saisir la Cour d’une demande de décision préjudicielle.
34 Toutefois, et toujours selon le Bundesarbeitsgericht, si l’article 17, paragraphe 3, sous e), du RGPD prévoit une exception au droit à l’effacement des données ayant fait l’objet d’un traitement illicite, et ce dans la mesure où ce traitement est « nécessaire » à la constatation, à l’exercice ou à la défense de droits en justice, cette disposition ne concernerait que ce droit à l’effacement.
35 En tout état de cause, la juridiction de renvoi estime qu’il y a lieu de s’interroger sur le point de savoir si l’article 6, paragraphe 1, sous e), ou l’article 9, paragraphe 2, sous f), du RGPD constituent le fondement des traitements de données à caractère personnel opérés par les juridictions nationales dans le cadre de l’exercice de leur fonction juridictionnelle ou si ces dernières peuvent également se fonder sur l’article 17, paragraphe 3, sous e), du RGPD.
36 Dans l’hypothèse où la Cour parviendrait à la conclusion que l’article 17, paragraphe 3, sous e), du RGPD peut constituer un tel fondement pour le traitement effectué dans le cadre de l’exercice de la fonction juridictionnelle des juridictions nationales, la juridiction de renvoi s’interroge sur la manière dont il conviendrait d’appliquer cette disposition et si cette dernière emporte une interdiction d’utilisation des données, par exemple, lorsque la collecte initiale de données n’a pas été dissimulée et a été utilisée pour établir la violation intentionnelle d’une obligation.
37 En troisième lieu, la juridiction de renvoi s’interroge sur les critères de fond qui doivent régir les actes de traitement de données effectués dans le cadre de l’exercice d’une fonction juridictionnelle.
38 En particulier, cette juridiction s’interroge, premièrement, sur le point de savoir si, dans le cas de données obtenues illicitement, mais dont l’authenticité et l’exactitude matérielle ne sont pas contestées en tant que telles, les juridictions nationales doivent procéder à un examen de proportionnalité et à une mise en balance de nature approfondie des intérêts en présence. Elle se demande également si ces juridictions doivent apprécier s’il convient de distinguer une telle situation de celle dans laquelle l’autre partie conteste aussi bien le mode d’obtention des données concernées, en le qualifiant d’illicite, que l’authenticité et/ou l’exactitude matérielle de celles-ci.
39 Deuxièmement, la juridiction de renvoi souligne qu’EM n’avait plus utilisé depuis longtemps le système informatique de NTH lorsque cette dernière a, aux fins de la procédure au principal, saisi certaines des données qui y étaient stockées. En outre, cette juridiction relève que l’article 5, paragraphe 1, sous e), du RGPD prévoit, en substance, que les données à caractère personnel ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Dès lors, elle s’interroge sur les conséquences à tirer, pour l’application de cette disposition, de ce que ces données avaient été collectées longtemps auparavant, voire avaient été conservées pendant une longue période et, enfin, de ce qu’il existait des obligations contractuelles d’effacement qui n’ont pas été respectées.
40 Troisièmement, la juridiction de renvoi s’interroge sur le point de savoir si l’invocation par une partie d’un intérêt général à la preuve est suffisante ou si le droit de l’Union n’impose pas la prise en considération d’autres aspects, dont il résulte que l’intérêt à l’obtention de preuves mérite une protection en dépit de l’atteinte portée au droit de l’autre partie.
41 Quatrièmement, cette juridiction s’interroge sur la possibilité pour l’employeur requérant de se prévaloir, dans une situation telle que celle en cause au principal, de l’article 47, paragraphe 2, de la Charte, afin de justifier la collecte et le traitement des données à caractère personnel auxquels il s’est livré, ainsi que sur les conséquences à tirer du fait que cet employeur pourrait ne pas avoir respecté ses obligations d’information en vertu de l’article 13 du RGPD.
42 Cinquièmement, ladite juridiction relève que, au point 55 de l’arrêt du 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145), la Cour a jugé que, afin de tenir compte de l’article 5, paragraphe 1, du RGPD, et en particulier du principe de la « minimisation des données » figurant au point c) de cette disposition, la juridiction nationale est tenue de déterminer si la divulgation des données à caractère personnel est adéquate et pertinente afin de garantir l’objectif poursuivi par les dispositions du droit national applicables et si cet objectif ne peut pas être atteint par le recours à des moyens de preuve moins intrusifs au regard de la protection des données personnelles d’un nombre élevé de tiers tels que, par exemple, l’audition de témoins sélectionnés. Elle se demande donc si cette solution est transposable en l’occurrence, dès lors que, par exemple, les données des acheteurs de la plateforme de vente en ligne eBay pourraient être concernées.
43 C’est dans ces conditions que le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Lorsqu’un acte autonome de traitement de données est effectué dans le cadre de l’exercice d’une fonction juridictionnelle et relève de l’article 6, paragraphe 1, sous e), et de l’article 6, paragraphe 3, du [RGPD], les dispositions de l’article 92 de la Loi fondamentale [de la République fédérale d’Allemagne] ainsi que des articles 138, 286 et 355 et suivants du code de procédure civile [, dans sa version applicable au litige au principal,] répondent-elles au critère de précision découlant de l’article 8, paragraphe 2, et de l’article 52, paragraphe 1, de la [Charte], ainsi que de l’article 5, paragraphe 1, sous c), du [RGPD], dans la mesure où le traitement effectué dans le cadre de l’exercice de la fonction juridictionnelle emporte pour une partie ou pour un tiers des atteintes aux droits fondamentaux ?
2) a) Lors du traitement de données qui sont notamment à caractère personnel, une juridiction nationale peut-elle considérer que l’article 17, paragraphe 3, sous e), du RGPD l’autorise à procéder à ce traitement, ou bien les articles 6 et 9 du RGPD constituent-ils la base exclusive d’un traitement effectué dans le cadre de l’exercice de la fonction juridictionnelle ?
b) À supposer que l’article 17, paragraphe 3, sous e), du RGPD soit en principe de nature à constituer [une base juridique pour des actes de traitement effectués dans le cadre de l’exercice de la fonction juridictionnelle] :
aa) en va-t-il également ainsi, lorsque la collecte initiale de ces données par une partie au procès ou un tiers n’a pas été effectuée de manière licite ?
bb) en vertu du principe d’application générale voulant que les données soient traitées de manière loyale [article 5, paragraphe 1, sous a), du RGPD], le traitement de données initialement collectées de manière illicite conduit-il, dans le droit dérivé, à une limitation du traitement effectué dans le cadre de l’exercice de la fonction juridictionnelle, de telle sorte que l’article 17, paragraphe 3, sous e), du RGPD ne s’applique que dans certaines conditions ou sous certaines limites ?
cc) L’article 17, paragraphe 3, sous e), du RGPD doit-il être compris en ce sens qu’une interdiction de l’utilisation dans le cadre de l’exercice de la fonction juridictionnelle de données obtenues initialement de manière illicite est toujours exclue, autrement dit qu’il incombe donc toujours à la juridiction d’utiliser ces données, lorsque la collecte initiale de données n’a pas été effectuée secrètement et que les données sont utilisées pour prouver un manquement intentionnel à des obligations ?
3) Abstraction faite du point de savoir si le traitement de données effectué dans le cadre de l’exercice de la fonction juridictionnelle relève de l’article 17, paragraphe 3, sous e), du RGPD ou de l’article 6, paragraphe 1, premier alinéa, sous c) ou e), de l’article 6, paragraphe 3, de l’article 9 du RGPD, ou d’autres dispositions du droit de l’Union :
a) faut-il considérer que, en ce qui concerne notamment le traitement de données qui ont été initialement collectées ou conservées de manière illicite, les principes de nécessité et de la “minimisation des données” que consacrent l’article 52, paragraphe 1, seconde phrase, de la [Charte] et l’article 5, paragraphe 1, sous a), du RGPD impliquent la nécessité, pour les juridictions, de procéder à un examen de la proportionnalité et à une mise en balance de nature exhaustive ?
b) Quelles sont les incidences que l’article 5, paragraphe 1, sous e), du RGPD, en vertu duquel les données à caractère personnel ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, exerce sur les actes postérieurs de traitement des données, effectués dans le cadre de l’exercice de la fonction juridictionnelle, notamment lorsque :
– la collecte initiale de données avait d’autres finalités, ou
– la collecte initiale et illicite des données remonte à une époque lointaine, ou
– une conservation illicite a perduré pendant de longues périodes, ou
– la collecte illicite de données concerne des données qui ont été conservées à une date remontant loin dans le passé, voire de manière illicite, ou
– l’organisme ou la personne traitant ou collectant les données s’est engagé unilatéralement, ou en vertu d’un contrat négocié individuellement ou encore par la voie d’une convention collective, à les effacer dans un délai déterminé, mais qu’il n’a pas procédé à cet effacement ?
c) Le droit de l’Union, en particulier l’article 8 de la [Charte], l’article 6, paragraphe 1, premier alinéa, sous c) ou e), l’article 6, paragraphe 3, et l’article 9 du RGPD ont-ils pour conséquence que le juge national ne peut utiliser des éléments de preuve obtenus en violation des droits de la personnalité que si la partie sur laquelle pèse la charge de la preuve a un intérêt légitime qui serait supérieur à celui de simplement établir les éléments invoqués, ou le droit de l’Union ne fixe-t-il à cet égard aucune règle, de sorte qu’il appartient à l’ordre juridique national d’adopter des dispositions à cet égard ?
d) Étant entendu que l’article 47, paragraphe 2, de la [Charte] garantit le droit à une protection juridictionnelle effective, et notamment à un procès équitable, lequel droit veut que les parties à une procédure civile aient en principe la possibilité de motiver suffisamment la finalité de la protection juridictionnelle qu’elles recherchent et d’en apporter la preuve, cette disposition a-t-elle pour conséquence que le traitement, effectué dans le cadre de l’exercice d’une fonction juridictionnelle, de données à caractère personnel du salarié requérant, que l’employeur a collectées de manière illicite, ne peut apparaître inapproprié et disproportionné au sens strict que s’il s’avère que la collecte de données constitue, au regard du droit de l’Union, une violation grave des articles 7 et 8 de la [Charte], et que d’autres sanctions éventuelles pour l’employeur (par exemple, le droit à réparation en vertu de l’article 82 du RGPD et l’imposition d’amendes en vertu de l’article 83 du RGPD) seraient tout à fait insuffisantes, ou bien faut-il considérer que d’autres violations du droit de la protection des données, de moindre gravité, commises lors de la collecte initiale des données, sont en elles-mêmes suffisantes à justifier un caractère inapproprié et disproportionné ?
e) En décidant s’il utilise, dans le cadre de l’exercice de sa fonction juridictionnelle, les données initialement collectées par une partie ou un tiers, le juge doit-il tenir compte du point de savoir si la personne ayant collecté les données a respecté les obligations d’information qui lui incombent en vertu de l’article 13 du RGPD ? Si oui : dans quelles conditions et selon quels critères le juge doit-il en tenir compte ?
f) L’obligation qu’a le juge de respecter le RGPD et la [Charte] lorsqu’il traite des données à caractère personnel s’étend-elle également aux données à caractère personnel de tiers ? De quelle façon une éventuelle violation du droit à la protection des données, commise à l’égard de tiers lors de la collecte initiale de données, exerce-t-elle une incidence sur le traitement ultérieur des données effectué par le juge dans le cadre de l’exercice de sa fonction juridictionnelle lors d’un litige entre deux parties ? Une partie peut-elle se prévaloir d’une violation a été commise non pas à son égard, mais à l’égard de tiers, ou n’en a-t-elle pas la possibilité ? »
Sur les questions préjudicielles
Sur la recevabilité
44 À titre liminaire, il convient de rappeler que, si, selon une jurisprudence constante, les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence, de telles questions sont en revanche irrecevables s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème soulevé est de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées [voir, en ce sens, arrêt du 18 juin 2024, Bundesrepublik Deutschland (Effet d’une décision d’octroi du statut de réfugié), C‑753/22, EU:C:2024:524, point 44 et jurisprudence citée].
45 En l’occurrence, il convient de relever que, dans ses questions, la juridiction de renvoi se réfère à plusieurs reprises à l’article 9 du RGPD, lequel concerne certaines catégories particulières de données à caractère personnel, à savoir celles révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que les données génétiques et les données biométriques, pour autant que celles-ci soient traitées afin d’identifier une personne physique de manière unique ou encore les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
46 Or, étant donné qu’il ressort du dossier dont dispose la Cour que le litige au principal ne concerne pas de telles données, les questions préjudicielles adressées par la juridiction de renvoi doivent être considérées comme étant irrecevables en tant qu’elles portent sur l’interprétation de l’article 9 du RGPD.
Sur la première question
47 À titre liminaire, il convient de relever que la question posée repose sur la prémisse que les traitements de données à caractère personnel réalisés par une juridiction dans le cadre de l’exercice de sa fonction juridictionnelle ne peuvent être fondés que sur l’article 6, paragraphe 1, sous e), du RGPD, lequel vise les traitements de données à caractère personnel qui sont nécessaires à l’exécution d’une mission d’intérêt public ou relèvent de l’exercice de l’autorité publique dont est investi le responsable du traitement.
48 Or, d’une part, il y a lieu de relever que, dans certaines situations, plusieurs conditions alternatives de licéité sont susceptibles de s’appliquer à un même traitement.
49 D’autre part, si certains traitements de données à caractère personnel effectués par une juridiction peuvent être regardés comme nécessaires à l’exécution d’une telle mission d’intérêt public ou comme relevant de l’exercice d’une telle autorité, les traitements des données à caractère personnel qu’une juridiction est susceptible d’opérer, comme dans l’affaire en cause au principal, à l’occasion des offres de preuve des parties présentent la spécificité d’être, en principe, nécessaires au respect d’une obligation légale incombant à cette juridiction, à savoir celle de statuer sur l’admissibilité de ces offres de preuve et, lorsque ces dernières ont été déclarées admissibles au regard des critères prévus à cet effet par le droit national, celle d’en tenir compte pour rendre sa décision.
50 Dès lors, la Cour estime que, afin d’apporter une réponse utile à la juridiction de renvoi, il y a lieu d’examiner les différentes questions qui lui ont été adressées dans la présente affaire au regard de l’article 6, paragraphe 1, sous c), du RGPD, plutôt qu’au regard de l’article 6, paragraphe 1, sous e), de ce règlement.
51 Dans ces conditions, il y a lieu de considérer que, par sa première question, la juridiction de renvoi demande, en substance, si l’article 6, paragraphe 1, premier alinéa, sous c), et paragraphe 3, du RPGD, lu à la lumière de l’article 8, paragraphe 2, et de l’article 52 de la Charte, doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui, s’agissant de l’utilisation de données à caractère personnel dans le cadre de l’examen des faits et de l’administration des preuves par une juridiction se borne à prévoir qu’il revient aux parties de présenter des éléments de fait circonstanciés et conformes à la vérité ainsi qu’à imposer à cette juridiction de les prendre pleinement en considération, avant, le cas échéant, d’en faire une appréciation, sans comporter d’indications sur les circonstances et les conditions dans lesquelles les faits rapportés et les preuves produites par les parties contenant des données à caractère personnel peuvent être utilisées par ladite juridiction.
52 En premier lieu, il y a lieu de rappeler que, certes, en l’état actuel du droit de l’Union, il appartient au seul droit national de déterminer les règles relatives à l’admissibilité et à l’appréciation des éléments de fait et de preuve (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 223, ainsi que du 5 avril 2022, Commissioner of An Garda Síochána e.a., C‑140/20, EU:C:2022:258, point 127).
53 Toutefois, en vertu de l’article 2, paragraphe 1, du RGPD, ce dernier s’applique à tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier », sous réserve de certaines hypothèses envisagées à l’article 2, paragraphes 2 et 3, de ce règlement. Or, étant donné que les traitements réalisés par des juridictions et autres autorités judiciaires ne font pas partie des hypothèses envisagées à cet article 2, paragraphes 2 et 3, ledit règlement est donc susceptible de s’appliquer, comme le confirme d’ailleurs le considérant 20 de celui-ci, aux traitements effectués par ces juridictions et ces autorités.
54 À cet égard, l’article 4, point 2, du RGPD définit la notion de « traitement » comme étant toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, tels que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
55 L’emploi, à cette occasion, de l’expression « toute opération » implique que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large (arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 50 et jurisprudence citée).
56 Certes, pour qu’un traitement de données à caractère personnel relève du champ d’application du RGPD, encore faut-il, conformément à l’article 2, paragraphe 1, de ce règlement, que ce traitement soit automatisé, en tout ou en partie, ou, lorsque le traitement est non automatisé, que les données concernées soient contenues ou appelées à figurer dans un fichier.
57 Or, d’une part, un traitement de données à caractère personnel doit être considéré comme étant automatisé, en tout ou en partie, au sens de cette disposition, lorsqu’il implique le recours à des opérations techniques sans aucune intervention humaine (voir, en ce sens et par analogie, arrêt du 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, point 26).
58 D’autre part, l’article 4, point 6, du RGPD définit la notion de « fichier » comme étant tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.
59 Toutefois, même si l’admissibilité des offres de preuve ne relève pas du RGPD, une juridiction doit être considérée comme réalisant un traitement de données à caractère personnel, au sens de ce règlement, notamment lorsqu’elle verse des documents contenant des données à caractère personnel dans un dossier, tel celui de la procédure en cause au principal, pour autant que celui-ci relève de la notion de « fichier », au sens de l’article 2, paragraphe 1, et de l’article 4, point 6, du RGPD.
60 De même, lorsque de tels documents sont communiqués à une juridiction sous forme dématérialisée et que cette juridiction consulte, extrait, conserve ou utilise ces données, elle effectue un traitement, au sens du RGPD.
61 En particulier, étant donné que chaque transmission de données à un responsable de traitement distinct du précédent entraîne corrélativement un acte de collecte de la part de celui-ci [voir, en ce sens, arrêt du 30 avril 2024, La Quadrature du Net e.a. (Données personnelles et lutte contre la contrefaçon), C‑470/21, EU:C:2024:370, point 62], une juridiction doit être regardée comme réalisant un tel acte de collecte lorsqu’elle recueille, sur la base de documents dématérialisés lui ayant été transmis par une partie, certaines données personnelles figurant dans ces documents.
62 Il appartiendra en l’occurrence à la juridiction de renvoi de vérifier, au regard des considérations qui précèdent, que les traitements de données à caractère personnel en cause au principal peuvent être regardés comme relevant du champ d’application du RGPD soit parce que concernant des données appelées à être accessibles depuis le dossier de procédure de cette affaire selon des critères déterminés, soit parce qu’étant automatisés en tout ou partie, ce qui est notamment le cas si les preuves transmises l’ont été sous forme dématérialisée et que lesdits traitements ont consisté dans le fait de consulter, d’extraire, de conserver ou d’utiliser des données à caractère personnel à partir de ces preuves.
63 En second lieu, il importe de relever que l’objectif principal poursuivi par le RGPD, tel qu’il ressort notamment de l’article 1er de celui-ci, ainsi que des considérants 1, 2, 7 et 10 de ce règlement, consiste à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la protection de la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE (voir, en ce sens, arrêt du 4 octobre 2024, Koninklijke Nederlandse Lawn Tennisbond, C‑621/22, EU:C:2024:858, point 26 et jurisprudence citée).
64 Conformément à cet objectif, pour être licite, tout traitement de données à caractère personnel relevant du champ d’application du RGPD doit respecter les principes énoncés au chapitre II de ce règlement ainsi que les droits des personnes concernées énoncés au chapitre III de celui-ci (voir, en ce sens, arrêt du 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, point 43 et jurisprudence citée).
65 En vertu de l’article 6, paragraphe 1, premier alinéa, du RGPD, un traitement de données à caractère personnel relevant du champ d’application de ce règlement n’est licite que si, et dans la mesure où, il relève au moins de l’une des conditions alternatives de licéité énoncées à cette disposition [voir, en ce sens, arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, point 335 ainsi que jurisprudence citée].
66 Or, s’agissant d’un traitement fondé sur la condition alternative de licéité prévue à l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, l’article 6, paragraphe 3, premier alinéa, du RGPD précise que le fondement de ce traitement doit être défini par le droit de l’Union ou par le droit de l’État membre auquel le responsable dudit traitement est soumis.
67 Ainsi, l’article 6, paragraphe 3, premier alinéa, du RGPD requiert, dès lors que le droit de l’Union ne régit pas les modalités de l’exposition des faits et de l’administration des preuves devant les juridictions nationales, qu’un traitement de données à caractère personnel, effectué sur le fondement de cette condition alternative de licéité, ait une base juridique dans le droit national (voir, en ce sens, arrêt du 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, point 32).
68 En ce qui concerne la forme et le contenu que doit revêtir cette base juridique, sous réserve des exigences liées à l’hypothèse visée à la troisième phrase de l’article 6, paragraphe 3, du RGPD, cette disposition se limite à exiger, s’agissant des traitements visés à l’article 6, paragraphe 1, premier alinéa, sous c), de ce règlement, que les finalités de ces traitements soient définies dans ladite base juridique, que la même base juridique réponde à un objectif d’intérêt public et qu’elle soit proportionnée à cet objectif.
69 En revanche, il ne ressort pas de l’article 6, paragraphe 3, du RGPD ou d’une autre disposition de ce règlement que l’objectif poursuivi par la base juridique dans le droit national doit être énoncé par cette dernière, étant entendu qu’il convient de comprendre, par « objectif », les finalités générales poursuivies par le traitement concerné et, par « finalités », les buts spécifiques et concrets de ce traitement [voir, en ce sens, arrêt du 20 novembre 2025, Policejní prezidium (Conservation de données biométriques et génétiques), C‑57/23, EU:C:2025:905, point 81].
70 Certes, lorsque le législateur d’un État membre adopte une base juridique autorisant des traitements sur le fondement de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, ce législateur met en œuvre le droit de l’Union si bien que, en vertu de l’article 51 de la Charte, une telle base juridique doit être conforme à la Charte.
71 Or, ainsi que la juridiction de renvoi le souligne, la Cour a inféré de l’article 8, paragraphe 2, de la Charte, qui ne fait lui-même que refléter, en la concrétisant, l’exigence posée à l’article 52 de la Charte selon laquelle toute limitation de l’exercice de droits fondamentaux reconnus par celle-ci doit notamment être prévue par la loi [voir, en ce sens, arrêt du 20 novembre 2025, Policejní prezidium (Conservation de données biométriques et génétiques), C‑57/23, EU:C:2025:905, point 51], que toute base juridique qui permet l’ingérence dans le droit à la protection des données à caractère personnel doit définir elle-même la portée de la limitation à l’exercice de ce droit qu’elle est susceptible d’engendrer (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C‑623/17, EU:C:2020:790, point 65et jurisprudence citée).
72 En outre, la Cour a jugé, s’agissant de l’exigence posée à l’article 52 de la Charte, que toute ingérence dans le droit à la protection des données à caractère personnel doit être réalisé dans le respect du principe de proportionnalité, ce qui requiert que toute réglementation engendrant une telle ingérence énonce des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel font l’objet d’un traitement disposent de garanties suffisantes, permettant de protéger efficacement ces données contre les risques d’abus, ainsi que contre tout accès et toute utilisation illicite de ces données [voir, en ce sens, arrêts du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 55 ainsi que jurisprudence citée, et du 16 novembre 2023, Roos e.a./Parlement, C‑458/22 P, EU:C:2023:871, point 69 ainsi que jurisprudence citée].
73 En particulier, la base juridique d’un traitement de données doit indiquer en quelles circonstances et à quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 176 ainsi que jurisprudence citée).
74 Toutefois, la Cour, en se référant à une jurisprudence constante de la Cour européenne des droits de l’homme, a également précisé que le terme « loi », utilisé à l’article 8, paragraphe 2, de la Charte, dans l’expression « fondement prévu par la loi », doit être entendu dans son acception matérielle et non formelle (voir, en ce sens, arrêt du 16 novembre 2023, Roos e.a./Parlement, C‑458/22 P, EU:C:2023:871, point 61 ainsi que jurisprudence citée).
75 De plus, selon cette jurisprudence de la Cour européenne des droits de l’homme, ladite acception du terme « loi », dans l’expression « prévue par la loi », visée à l’article 8, paragraphe 2, de la CEDH, implique que ce terme vise le texte en vigueur, tel que les juridictions compétentes l’ont interprété (voir, en ce sens, Cour EDH, 23 janvier 2025, H.W. c. France, CE:ECHR:2025:0123JUD001380521, point 65).
76 D’ailleurs, le considérant 41 du RGPD mentionne expressément que, lorsque ce règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour et de la Cour européenne des droits de l’homme.
77 Dès lors, l’exigence, énoncée à l’article 6, paragraphe 3, du RGPD, de prévoir une base juridique à tout traitement fondé sur les conditions alternatives de licéité prévues à l’article 6, paragraphe 1, premier alinéa, sous c) et e), de ce règlement doit être comprise comme n’impliquant pas nécessairement l’existence d’un acte législatif, la notion de « droit de l’État membre auquel le responsable du traitement est soumis » pouvant également couvrir la jurisprudence nationale, pour autant que celle-ci soit claire et précise et que son application soit prévisible pour les justiciables (voir, en ce sens, arrêt du 12 septembre 2024, HTB Neunte Immobilien Portfolio et Ökorenta Neue Energien Ökostabil IV, C‑17/22 et C‑18/22, EU:C:2024:738, points 71 et 72).
78 En outre, étant donné que l’article 6, paragraphe 3, second alinéa, du RGPD exige que la base juridique du traitement en cause réponde à un objectif d’intérêt public et qu’elle soit proportionnée à l’objectif légitime poursuivi, une telle jurisprudence doit également satisfaire à ces conditions (voir, en ce sens, arrêt du 12 septembre 2024, HTB Neunte Immobilien Portfolio et Ökorenta Neue Energien Ökostabil IV, C‑17/22 et C‑18/22, EU:C:2024:738, point 73 ainsi que jurisprudence citée).
79 En l’occurrence, il ressort de la décision de renvoi que les dispositions législatives en cause au principal ne prévoient pas les conditions qui doivent être remplies pour que des éléments de preuve ou des faits contenant des données à caractère personnel ayant précédemment fait l’objet d’un traitement illicite soient considérés comme étant admissibles. Dès lors, il appartiendra à la juridiction de renvoi, pour s’assurer que ces dispositions sont conformes au RGPD, de vérifier que celles-ci font l’objet d’une jurisprudence claire, précise et d’application prévisible, qui établit elle-même les circonstances et les conditions dans lesquelles les faits rapportés et les preuves produites par les parties contenant des données à caractère personnel peuvent être utilisées par une juridiction, qui répond à un objectif d’intérêt public et qui est proportionnée à celui-ci.
80 Eu égard à l’ensemble de ce qui précède, il convient de répondre à la première question que l’article 6, paragraphe 1, premier alinéa, sous c), et paragraphe 3, du RPGD, lu à la lumière de l’article 8, paragraphe 2, et de l’article 52 de la Charte, doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui, s’agissant d’un traitement de données à caractère personnel, effectué dans le cadre de l’examen des faits et de l’administration des preuves par une juridiction, se borne à prévoir qu’il revient aux parties de présenter des éléments de fait circonstanciés et conformes à la vérité ainsi qu’à imposer à cette juridiction de les prendre pleinement en considération, avant, le cas échéant, d’en faire une appréciation, sans comporter d’indications sur les circonstances et les conditions dans lesquelles les faits rapportés et les preuves produites par les parties contenant des données à caractère personnel peuvent être utilisés par ladite juridiction, pour autant qu’il existe une jurisprudence nationale claire, précise et d’application prévisible établissant elle-même les circonstances et les conditions dans lesquelles les faits rapportés et les preuves produites par les parties contenant des données à caractère personnel peuvent être utilisées par une juridiction, que cette jurisprudence réponde à un objectif d’intérêt public et qu’elle soit proportionnée à celui-ci.
Sur la deuxième question, sous a)
81 Par sa deuxième question, sous a), la juridiction de renvoi demande, en substance, si l’article 17, paragraphe 3, sous e), du RGPD doit être interprété en ce sens qu’il énonce une condition alternative de licéité qu’un traitement peut remplir pour être conforme à l’article 5, paragraphe 1, sous a), de ce règlement et qui est distincte de l’une de celles énumérées à l’article 6, paragraphe 1, premier alinéa, du RGPD.
82 À cet égard, il convient de rappeler que, en vertu de l’article 5, paragraphe 1, sous a), du RGPD, tout traitement de données à caractère personnel doit être notamment licite, ce qui implique, ainsi qu’il est rappelé au point 64 du présent arrêt, que ce traitement soit conforme à l’ensemble des principes énoncés au chapitre II du RGPD et respecte les droits des personnes concernées énoncés au chapitre III de celui-ci.
83 Parmi ces principes l’article 6, paragraphe 1, premier alinéa, du RGPD énonce une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite. Ainsi, pour qu’il puisse être considéré comme tel, conformément à l’article 5, paragraphe 1, sous a), du RGPD, un traitement doit relever de l’un des cas prévus à cet article 6, paragraphe 1, premier alinéa [voir, en ce sens, arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 56 et jurisprudence citée].
84 Certes, en vertu de l’article 17, paragraphe 3, sous e), du RGPD, le droit des personnes concernées d’obtenir du responsable du traitement l’effacement de leurs données, notamment, ainsi qu’il ressort de l’article 17, paragraphe 1, sous d), de ce règlement, lorsque ces dernières ont fait l’objet d’un traitement illicite, ne s’applique pas si ce traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice.
85 Toutefois, le fait que l’article 17, paragraphe 3, sous e), du RGPD introduise une exception à ce droit à l’effacement n’implique pas que cette disposition doive être interprétée comme énonçant, en tant que telle, une condition alternative de licéité autonome sur laquelle un traitement de données à caractère personnel, qui serait nécessaire à la constatation, à l’exercice ou à la défense de droits en justice, pourrait être fondé pour être conforme à l’article 5, paragraphe 1, sous a), du RGPD. En effet, la liste des conditions alternatives de licéité énoncées à l’article 6, paragraphe 1, premier alinéa, du RGPD étant exhaustive et limitative, ainsi qu’il ressort du point 83 du présent arrêt, la situation visée à l’article 17, paragraphe 3, sous e), de ce règlement ne saurait être considérée comme étant une telle condition alternative de licéité.
86 Eu égard à l’ensemble de ce qui précède, il y a lieu de répondre à la deuxième question, sous a), que l’article 17, paragraphe 3, sous e), du RGPD doit être interprété en ce sens que cette disposition n’énonce pas une condition alternative de licéité qu’un traitement pourrait remplir pour être conforme à l’article 5, paragraphe 1, sous a), du RGPD et qui serait distincte de l’une de celles énumérées à l’article 6, paragraphe 1, premier alinéa, du RGPD.
Sur la deuxième question, sous b)
87 Compte tenu de la réponse apportée à la deuxième question, sous a), il n’y a pas lieu de répondre à la deuxième question, sous b).
Sur la troisième question, sous a)
88 D’emblée, il convient de relever que le principe de la « minimisation des données », sur lequel porte exclusivement la troisième question, sous a), est énoncé non pas, comme semble le considérer la juridiction de renvoi au vu du libellé de cette question, à l’article 5, paragraphe 1, sous a), du RGPD, mais à l’article 5, paragraphe 1, sous c), de ce règlement.
89 En outre, il ressort de la demande de décision préjudicielle que, lorsqu’elle évoque un examen de la proportionnalité du traitement envisagé et une « mise en balance » de nature exhaustive des intérêts en présence, cette juridiction s’interroge sur la nécessité, en vertu de l’article 52, paragraphe 1, seconde phrase, de la Charte, de vérifier, pour chaque traitement de données à caractère personnel effectué, que les données traitées à cette occasion sont de nature à permettre la réalisation de l’objectif poursuivi par ce traitement, ainsi que strictement nécessaires à celle-ci, et que la gravité de l’ingérence dans les droits fondamentaux qu’implique la prise en compte de telles données afin de réaliser le traitement en cause est en relation avec l’intérêt que présente, pour le responsable du traitement, le recours à ces données pour réaliser ledit traitement.
90 Dès lors, il convient de comprendre que, par sa troisième question, sous a), la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous c), du RGPD, lu en combinaison avec l’article 52, paragraphe 1, seconde phrase, de la Charte, doit être interprété en ce sens que le principe de la « minimisation des données » requiert, pour une juridiction, de veiller au respect, pour chaque traitement de données à caractère personnel qu’elle réalise, du principe de proportionnalité, en s’assurant que les données traitées à cette occasion sont de nature à permettre la réalisation de l’objectif poursuivi par ce traitement, ainsi que strictement nécessaires à celle-ci, et que la gravité de l’ingérence dans les droits fondamentaux qu’implique la prise en compte de telles données afin de réaliser le traitement en cause, est en relation avec l’intérêt que présente, pour cette juridiction, le recours à ces données pour réaliser ledit traitement.
91 À cet égard, d’une part, ainsi qu’il ressort de cet article 52, paragraphe 1, seconde phrase, pour que des limitations de l’exercice des droits fondamentaux garantis par celle-ci puissent être apportées dans le respect du principe de proportionnalité, ces limitations doivent être nécessaires et répondre effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui.
92 Plus spécifiquement, les dérogations à la protection des données à caractère personnel et les limitations de celles-ci s’opèrent dans les limites du strict nécessaire, étant entendu que, lorsqu’un choix s’offre entre plusieurs mesures appropriées à la satisfaction des objectifs légitimes poursuivis, il convient de recourir à la moins contraignante de celles-ci. En outre, un objectif d’intérêt général ne saurait être légitimement poursuivi sans tenir compte du fait qu’il doit être concilié avec les droits fondamentaux concernés par la mesure en cause, et ce en effectuant une pondération équilibrée entre l’objectif d’intérêt général et les droits concernés, afin d’assurer que les inconvénients causés par cette mesure ne soient pas démesurés par rapport aux buts visés. Ainsi, la possibilité de justifier une limitation aux droits garantis aux articles 7 et 8 de la Charte doit être appréciée en mesurant la gravité de l’ingérence que comporte une telle limitation et en vérifiant que l’importance de l’objectif d’intérêt général poursuivi par cette limitation est en relation avec cette gravité (arrêt du 21 mars 2024, Landeshauptstadt Wiesbaden, C‑61/22, EU:C:2024:251, point 83 et jurisprudence citée).
93 En conséquence, le respect du principe de proportionnalité requiert que des limitations à des droits fondamentaux garantis par la Charte ne puissent être apportées que si, premièrement, la mesure en cause poursuit un ou plusieurs objectifs d’intérêt général reconnus par l’Union et est effectivement de nature à permettre la réalisation de ces objectifs, deuxièmement, si les ingérences qui en résultent sont limitées au strict nécessaire, en ce sens que lesdits objectifs ne pourraient raisonnablement être atteints de manière aussi efficace par d’autres moyens moins attentatoires à ces droits fondamentaux des personnes concernées, et, troisièmement, si ces ingérences ne sont pas disproportionnées par rapport aux mêmes objectifs, ce qui implique notamment une pondération de ces derniers et de la gravité desdites ingérences (arrêt du 21 mars 2024, Landeshauptstadt Wiesbaden, C‑61/22, EU:C:2024:251, point 84 et jurisprudence citée).
94 D’autre part, l’article 5, paragraphe 1, sous c), du RGPD, en prévoyant que les données à caractère personnel faisant l’objet d’un traitement doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, soumet le traitement des données à caractère personnel au respect du principe de la « minimisation des données » [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 104].
95 Or, si ce principe constitue une « expression » du principe de proportionnalité [voir, en ce sens, arrêt du 9 janvier 2025, Mousse, C‑394/23, EU:C:2025:2, point 24 et jurisprudence citée], cette circonstance n’implique pas pour autant que cette disposition mette en œuvre, à elle seule, le principe de proportionnalité et, partant, les trois conditions rappelées au point 91 du présent arrêt.
96 À cet égard, il convient de relever que les exigences prévues à l’article 5, paragraphe 1, sous c), du RGPD et qui suffisent à justifier que cette disposition puisse être considérée comme constituant l’expression du principe de proportionnalité, sont de nature à garantir que le choix de recourir à certaines données plutôt qu’à d’autres satisfait aux deux premières conditions découlant du respect du même principe.
97 D’une part, il ressort du sens même des termes « adéquat » et « pertinent » que, lorsque des données remplissent ces deux exigences, elles sont de nature à atteindre les finalités du traitement concerné et, a fortiori, à réaliser l’objectif dudit traitement. D’autre part, étant donné que ces données sont limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, celles-ci le sont également au regard de l’objectif plus généralement poursuivi lorsqu’il a été décidé de recourir à ces données pour réaliser le traitement en cause.
98 Quant à la troisième condition rappelée au point 91 du présent arrêt, force est de constater que le fait de satisfaire à l’une des conditions alternatives de licéité mentionnées à l’article 6, paragraphe 1, premier alinéa, du RGPD est déjà, en principe, de nature à limiter les traitements dont les données en cause sont susceptibles de faire l’objet à ceux non seulement nécessaires à la réalisation d’un objectif légitime, mais encore présentant un intérêt légitime supérieur à la gravité de l’ingérence dans les droits fondamentaux garantis aux articles 7 et 8 de la Charte que ces traitements impliquent.
99 Pour ce qui est des traitements relevant de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, à savoir ceux nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis, l’article 6, paragraphe 3, second alinéa, de ce règlement prévoit ainsi expressément que le droit de l’Union ou le droit des États membres servant de base juridique à de tels traitements, et donc énonçant l’obligation dont le respect exige les traitements, doit répondre à un objectif d’intérêt public et être proportionné à l’objectif légitime poursuivi.
100 Ce faisant, cette dernière disposition consacre explicitement l’exigence que l’obligation légale à laquelle le responsable du traitement est soumis et qui sert de base à un traitement de données à caractère personnel soit le résultat d’une mise en balance, lors de l’adoption de cette base juridique, entre, d’une part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, et, d’autre part, les objectifs légitimement poursuivis à cette occasion par le droit de l’Union ou le droit des États membres (voir, par analogie, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 124 et jurisprudence citée).
101 Or, puisque, conformément à l’article 5, paragraphe 1, sous c), du RGPD, seules des données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies peuvent être utilisées pour réaliser des traitements, lorsque cette obligation est le résultat d’une telle mise en balance, les données qui répondent à de telles exigences seront nécessairement uniquement celles dont le traitement présente un intérêt légitime supérieur à la gravité de l’ingérence dans les droits fondamentaux garantis aux articles 7 et 8 de la Charte que lesdits traitements impliquent.
102 Dans le cas des traitements de données à caractère personnel auxquels une juridiction doit procéder à l’occasion de l’examen des offres de preuve des parties, étant donné que de telles traitements sont nécessaires au respect du droit à un procès équitable, il y a lieu de constater que, afin de se conformer au principe de la « minimisation des données », cette juridiction doit uniquement vérifier que les données qu’elle traite satisfont aux conditions prévues à l’article 5, paragraphe 1, sous c), du RGPD, sans devoir, à ce titre spécifiquement, et donc en sus de l’obligation, énoncée à l’article 6, paragraphe 3, second alinéa, du RGPD, pour la base légale imposant les traitements en cause, d’être proportionnée à l’objectif légitime poursuivi, procéder à une mise en balance des intérêts en présence, que cette mise en balance soit ou non exhaustive.
103 Eu égard à l’ensemble de ce qui précède, il y a lieu de répondre à la troisième question, sous a), que l’article 5, paragraphe 1, sous c), du RGPD, lu en combinaison avec l’article 52, paragraphe1, seconde phrase, de la Charte, doit être interprété en ce sens que le principe de la « minimisation des données » ne requiert pas, pour une juridiction, de veiller au respect, pour chaque traitement de données à caractère personnel qu’elle réalise, du principe de proportionnalité, en s’assurant que les données traitées à cette occasion sont de nature à permettre la réalisation de l’objectif poursuivi par ce traitement, ainsi que strictement nécessaires à celle-ci, et que la gravité de l’ingérence dans les droits fondamentaux qu’implique la prise en compte de telles données afin de réaliser ledit traitement, est en relation avec l’intérêt que présente, pour cette juridiction, le recours à ces données pour réaliser le même traitement, pour autant que soient respectées les conditions prévues à l’article 5, paragraphe 1, sous c), du RGPD.
Sur la troisième question, sous b) à d)
104 Eu égard à ce qui a été relevé au point 49 du présent arrêt, il y a lieu de considérer que, par sa troisième question, sous b) à d), la juridiction de renvoi demande, en substance, si les articles 7 et 8 de la Charte, l’article 5, paragraphe 1, du RGPD, l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, lu en combinaison avec l’article 6, paragraphe 3, de celui-ci, et le principe de la « minimisation des données » doivent être interprétés en ce sens qu’ils s’opposent à ce qu’un juge national utilise des éléments de preuve contenant des données à caractère personnel obtenus en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel par la partie les lui ayant transmis, lorsque cette partie n’a pas un intérêt légitime à un tel traitement qui serait supérieur à celui de simplement établir les éléments de fait qu’elle invoque.
105 À cet égard, il convient de souligner, d’une part, que, si le droit à la protection de la vie privée et le droit à la protection des données à caractère personnel, visés aux articles 7 et 8 de la Charte, sont susceptibles, dans certaines situations, d’entrer en conflit avec le droit à un recours effectif, garanti à l’article 47 de la Charte, pour les traitements de données à caractère personnel relevant du RGPD, les mécanismes permettant de trouver un juste équilibre entre les différents droits fondamentaux et intérêts en présence doivent être considérés comme étant inscrits dans ce règlement lui-même (voir, en ce sens, arrêt du 17 juin 2021, M.I.C.M., C‑597/19, EU:C:2021:492, point 112).
106 En particulier, la proportionnalité des atteintes susceptibles d’être portées au droit à la protection de la vie privée et au droit à la protection des données à caractère personnel, visés aux articles 7 et 8 de la Charte, par un traitement relevant du champ d’application du RGPD est garanti par l’application combinée des principes prévus à l’article 5, paragraphe 1, de ce règlement et des exigences inhérentes à chaque condition alternative de licéité énoncée à l’article 6, paragraphe 1, premier alinéa, dudit règlement, le cas échéant, lu en combinaison avec l’article 6, paragraphe 3, de celui-ci.
107 Par conséquent, pour autant que les conditions d’un traitement licite de données à caractère personnel en vertu du même règlement soient réunies, ce traitement est, en principe, réputé satisfaire également aux exigences fixées aux articles 7 et 8 de la Charte [arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, point 332].
108 D’autre part, comme l’a souligné en substance M. l’avocat général au point 32 de ses conclusions, ni l’article 5, paragraphe 1, du RGPD ni aucun des autres droits et principes énoncés aux chapitres II et III de ce règlement n’interdisent de manière générale et absolue à une autorité publique, telle qu’une juridiction, de tenir compte de données à caractère personnel ayant précédemment fait l’objet, par la personne les lui ayant transmises, d’un traitement illicite, au sens dudit règlement.
109 Certes, l’article 5, paragraphe 1, sous a), du RGPD énonce comme principe qu’un traitement de données à caractère personnel doit être non seulement licite et transparent, mais également loyal.
110 Toutefois, il ressort du considérant 39 de ce règlement que l’objectif poursuivi par ce principe de loyauté, qui se confond avec celui poursuivi par le principe de transparence, est de veiller à ce que les personnes concernées aient connaissance de l’existence d’un traitement de leurs données personnelles et que, à cette occasion, elles reçoivent les informations nécessaires à l’exercice de leurs droits.
111 Dès lors, l’incidence de la circonstance que les données traitées aient précédemment fait l’objet, par la partie les ayant transmises, d’un traitement illicite, au sens de l’article 5, paragraphe 1, sous a), du RGPD, dépend de la condition alternative de licéité invoquée par le responsable du traitement pour justifier ce traitement. En effet, certaines de ces conditions alternatives peuvent être inapplicables en présence de telles données en raison des exigences qu’elles énoncent.
112 Ainsi, s’agissant de la condition alternative de licéité visée à l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, le fait que le responsable du traitement savait ou aurait dû savoir que certaines données lui ayant été transmises avaient été précédemment notamment collectées ou conservées de manière illicite exclut que la collecte de ces données, opérée par ce responsable du traitement consécutivement à leur transmission, puisse être regardée comme poursuivant des intérêts légitimes et, par suite, comme remplissant cette condition alternative de licéité.
113 Toutefois, il doit être constaté que les traitements de données à caractère personnel effectués par une juridiction en lien avec les données à caractère personnel figurant dans les offres de preuve des parties sont, en principe, nécessaires au respect d’une obligation légale incombant à cette juridiction, à savoir celle de statuer sur l’admissibilité de ces offres de preuve et, lorsque ces dernières ont été déclarées admissibles au regard des critères prévus à cet effet par le droit national, celle d’en tenir compte pour rendre sa décision.
114 Or, l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD ne fait état d’aucune exigence de nature à exclure qu’une juridiction puisse se fonder sur cette condition alternative de licéité lorsque les données à caractère personnel en cause figurant dans une offre de preuve ont précédemment fait l’objet, par la personne les ayant transmises, d’un traitement illicite, au sens de ce règlement.
115 Certes, l’article 6, paragraphe 3, du RGPD précise que la base juridique des traitements de données à caractère personnel ayant pour fondement l’article 6, paragraphe 1, premier alinéa, sous c), de ce règlement doit être définie par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, que cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles de ce règlement aux nécessités que ces traitements poursuivent et que, en tout état de cause, le droit de l’Union ou le droit de cet État membre doit répondre à un objectif d’intérêt public et être proportionné à l’objectif légitime poursuivi (voir, en ce sens, arrêt du 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, point 31).
116 S’agissant de cette condition de proportionnalité et des exigences qu’elle requiert, il y a lieu de relever que, selon la jurisprudence rappelée au point 91 du présent arrêt, premièrement, la base juridique servant de fondement au traitement en cause doit être de nature à permettre de répondre à l’objectif d’intérêt public poursuivi, deuxièmement, elle doit uniquement autoriser des traitements qui demeurent dans les limites du strict nécessaire, ce qui suppose qu’il n’existe pas d’autres mesures moins attentatoires aux droits et libertés des personnes concernées permettant d’atteindre aussi efficacement cet objectif, et, troisièmement, cette base juridique doit être proportionnée, au sens strict, en ce que, après pondération de l’ensemble des éléments pertinents, elle ne puisse pas autoriser des traitements engendrant des limitations aux droits et libertés des personnes concernées qui soient démesurées au regard de l’importance qui s’attache à la réalisation dudit objectif.
117 Or, la circonstance que l’obligation légale rendant nécessaire le traitement des données à caractère personnel figurant dans les offres de preuve formulées par les parties s’applique également aux données à caractère personnel obtenues en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel par la partie les ayant transmises à une juridiction n’apparaît pas comme étant de nature à exclure que cette base juridique puisse satisfaire à de telles exigences.
118 Tout d’abord, s’agissant de la première exigence rappelée au point 91 du présent arrêt, dans le cas du traitement de données à caractère personnel par une juridiction, l’obligation légale imposant à cette juridiction de statuer sur l’admissibilité des offres de preuve formulées par les parties et, lorsque ces offres de preuve sont admissibles, d’en tenir compte pour rendre sa décision, doit être considérée comme visant un objectif d’intérêt public, puisqu’ayant trait au respect d’un droit fondamental, à savoir le droit à un procès équitable, lequel est consacré à l’article 47 de la Charte.
119 Ensuite, cette obligation doit également être considérée comme étant de nature à permettre la réalisation de cet objectif d’intérêt public, ainsi que strictement nécessaire à celle-ci, quand bien même les données concernées auraient été obtenues illicitement. En particulier, puisque le droit à un procès équitable exige d’une juridiction qu’elle statue sur l’admissibilité des offres de preuve formulées par les parties et, lorsque ces offres de preuve sont admissibles, qu’elle en tienne compte pour rendre sa décision, aucune autre mesure n’apparaît susceptible de réaliser aussi efficacement un tel objectif que celle consistant à permettre aux juridictions de traiter des données à caractère personnel figurant dans les offres de preuve formulées par les parties.
120 Enfin, il convient de rappeler que, ainsi que le confirme le considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance, conformément au principe de proportionnalité, avec d’autres droits fondamentaux, tel le droit à une protection juridictionnelle effective, garanti à l’article 47 de la Charte (voir, en ce sens, arrêt du 2 mars 2023, Norra Stockholm Bygg, C‑268/21, EU:C:2023:145, point 49).
121 Eu égard à la fonction essentielle jouée dans la société par le droit à un procès équitable, le fait d’obliger une juridiction à traiter les données à caractère personnel figurant dans les offres de preuve des parties, y compris lorsque ces données ont été obtenues en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel, n’apparaît pas comme étant de nature à porter une atteinte démesurée à ces droits, tels que ceux-ci sont garantis aux articles 7 et 8 de la Charte.
122 Par conséquent, l’obligation incombant à une juridiction, conformément au droit à un procès équitable, de traiter toutes les données à caractère personnel figurant dans les offres de preuve satisfait aux exigences de l’article 6, paragraphe 3, du RGPD, et ce alors même que cette obligation porterait sur des données obtenues en violation des droits de la personnalité et que la partie les ayant transmises à cette juridiction n’aurait pas un intérêt légitime à un tel traitement qui serait supérieur à celui de simplement établir les éléments invoqués.
123 Cela étant, les données utilisées à ces occasions doivent, conformément à l’article 5, paragraphe 1, sous c), du RGPD, être limitées aux données adéquates, pertinentes et nécessaires au regard des finalités pour lesquelles elles sont traitées.
124 Or, à cet égard, en ce qui concerne, en premier lieu, les données à caractère personnel utilisées à l’occasion des traitements qu’une juridiction entreprend afin de décider de l’admissibilité des offres de preuve et de la pertinence des faits invoqués par une partie au regard des règles du droit national applicable en la matière, il convient de souligner que le droit à un procès équitable, tel que celui-ci reconnu à l’article 47 de la Charte, implique que les parties soient en mesure de présenter à une juridiction les offres de preuve qu’elles estiment pertinentes.
125 Par conséquent, s’agissant des recours en justice destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l’Union, le fait que, afin de statuer sur l’admissibilité des offres de preuve, une juridiction soit amenée à traiter des données à caractère personnel n’implique, en principe, aucune violation du principe de la « minimisation des données », puisque, à ce stade, de telles données sont précisément adéquates, pertinentes et nécessaires pour permettre à cette juridiction de se prononcer sur cette admissibilité. Il en va de même en ce qui concerne les recours en justice dans le cadre desquels le droit de l’Union n’est pas invoqué, lorsqu’un droit ayant une portée analogue au droit à un procès équitable, garanti à l’article 47 de la Charte, est reconnu aux parties par le droit de l’État membre concerné.
126 En revanche, après qu’une juridiction a constaté que des documents contenant les données à caractère personnel lui ayant été transmis sont admissibles au regard des règles prévues à cet effet par le droit national, cette juridiction doit, avant de les verser au dossier, examiner si ces données se limitent à celles nécessaires au regard des finalités poursuivies, à savoir lui permettre de rendre une décision la plus éclairée possible au regard des circonstances pertinentes de l’affaire et se conformer au principe du contradictoire, ou s’il convient, pour elle, de prendre certaines mesures visant à réduire le nombre de données ainsi concernées, telle une anonymisation partielle ou totale des documents concernés, sans pour autant porter atteinte aux droits de ces autres parties.
127 Cela étant, la circonstance que les données concernées aient été obtenues en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel, visés aux articles 7 et 8 de la Charte, n’apparaît pas en soi déterminant, les critères prévus à l’article 5, paragraphe 1, sous c), du RGPD exigeant que ces données soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies.
128 S’agissant, en deuxième lieu, des données à caractère personnel utilisées à l’occasion des traitements qu’une juridiction réalise afin d’adopter sa décision, eu égard au droit à un procès équitable, toutes les données figurant dans des documents déclarés admissibles et ayant été versées au dossier doivent, en principe, être considérées comme étant adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité de tels traitements, puisque, conformément à ce droit à un procès équitable, cette juridiction est tenue de prendre en compte l’ensemble de ces éléments de preuve afin notamment d’en apprécier la pertinence.
129 En troisième et dernier lieu, pour ce qui est de la divulgation de telles données par une juridiction à l’occasion de la signification ou de la publication de son jugement, un tel traitement requiert de tenir compte, afin de veiller à ce que ces données soient limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, que cette juridiction tienne notamment compte, non seulement de la nécessité de permettre l’exécution de la décision, d’informer les tiers susceptibles d’être également concernés par les faits en cause et de protéger les justiciables contre les dérives d’une justice secrète (voir, en ce sens, Cour EDH, 2 juin 2022, Straume c. Lettonie, CE:ECHR:2022:0602JUD005940214, § 124), mais également de la possibilité de prendre certaines mesures, telles que l’anonymisation ou la pseudonymisation de ces mêmes données, pour minimiser l’entrave au droit à la protection des données à caractère personnel qu’une telle divulgation est susceptible d’entraîner.
130 Eu égard à l’ensemble de ce qui précède, il y a lieu de répondre à la troisième question, sous b) à d), que les articles 7 et 8 de la Charte, l’article 5, paragraphe 1, du RGPD, l’article 6, paragraphe 1, premier alinéa, sous c), de ce règlement, lu en combinaison avec l’article 6, paragraphe 3, de celui-ci, et le principe de la « minimisation des données » doivent être interprétés en ce sens qu’ils ne s’opposent pas à ce qu’un juge national utilise des éléments de preuve contenant des données à caractère personnel obtenus en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel par la partie les lui ayant transmis, lorsque cette partie n’a pas un intérêt légitime à un tel traitement qui serait supérieur à celui de simplement établir les éléments de fait qu’elle invoque. En revanche, avant de procéder à la divulgation de ces données aux parties ou à des tiers, cette juridiction doit vérifier que de telles données sont limitées à ce qui est nécessaire au regard des finalités pour lesquelles une telle divulgation est réalisée et, le cas échéant, prendre certaines mesures pour minimiser l’entrave au droit à la protection des données à caractère personnel qu’une telle divulgation est susceptible d’entraîner.
Sur la troisième question, sous e)
131 Par sa troisième question, sous e), la juridiction de renvoi demande, en substance, si l’article 13, paragraphes 1 et 2, du RGPD doit être interprété en ce sens qu’il s’oppose à ce qu’une juridiction nationale utilise, dans le cadre de l’exercice de sa fonction juridictionnelle, des données collectées par une personne n’ayant pas respecté les obligations d’information qui lui incombaient en vertu de cette disposition.
132 À cet égard, il résulte de l’article 13, paragraphes 1 et 2, du RGPD que, lorsque des données à caractère personnel relatives à une personne sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où ces données sont obtenues, les informations énumérées à ces paragraphes.
133 Étant donné que cette disposition fait partie du chapitre III du RGPD, lesdits paragraphes doivent être considérés comme énonçant des conditions dont le respect s’impose pour qu’une collecte de données à caractère personnel soit licite.
134 Au demeurant, l’obligation prévue à cet article 13 participe de la réalisation de l’exigence prévue à l’article 5, paragraphe 1, sous a), du RGPD, lequel fait partie du chapitre II de ce règlement, selon laquelle tout traitement de données à caractère personnel doit être loyal et transparent, si bien que, à ce titre également, elle doit être respectée.
135 Toutefois, sans qu’il soit besoin de déterminer si, afin de préserver l’effet utile de l’article 17, paragraphe 3, sous e), du RGPD, cette disposition doit être interprétée en ce sens que le fait que la partie concernée ait collecté les données en cause sans se conformer à cette obligation n’a pas pour conséquence que le traitement consistant dans la transmission de preuves contenant ces données à une juridiction doit être considéré comme étant illicite, il convient de rappeler que, comme il est constaté au point 108 du présent arrêt, ni l’article 5, paragraphe 1, du RGPD, ni aucun des autres droits et principes énoncés aux chapitres II et III de ce règlement n’interdisent de manière générale et absolue à un responsable de traitement de tenir compte de données à caractère personnel ayant précédemment fait l’objet, par la personne les lui ayant transmises, d’un traitement illicite, au sens du RGPD.
136 Par conséquent, il y a lieu de répondre à la troisième question, sous e), que l’article 13, paragraphes 1 et 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à ce qu’une juridiction nationale utilise, dans le cadre de l’exercice de sa fonction juridictionnelle, des données collectées par une partie ou par un tiers n’ayant pas respecté les obligations d’information qui leur incombaient en vertu de cette disposition.
Sur la troisième question, sous f)
137 Par sa troisième question, sous f), la juridiction de renvoi demande, en substance, si le RGPD doit être interprété en ce sens qu’une juridiction est tenue, dans le cadre de l’exercice de sa fonction juridictionnelle, de veiller à respecter ce règlement lorsqu’elle traite des données à caractère personnel relatives à des tiers à la procédure pendante devant elle et si le droit de l’Union exige que l’une des parties à cette procédure puisse se prévaloir de ce que ces données ont été collectées ou conservées de manière illicite, au sens dudit règlement, par l’autre partie en violation des droits que ces tiers tirent du même règlement.
138 À cet égard, il ressort de l’article 288 TFUE qu’un règlement est un acte de portée générale, obligatoire dans tous ses éléments et directement applicable dans tous les États membres.
139 Étant donné que les principes énoncés au chapitre II du RGPD s’appliquent indépendamment de toute considération liée à la situation procédurale des personnes concernées ou de la circonstance que le responsable du traitement soit une juridiction, ce règlement, lu en combinaison avec l’article 288 TFUE, doit être interprété en ce sens qu’une juridiction est tenue, dans le cadre de l’exercice de sa fonction juridictionnelle, de respecter ledit règlement lorsqu’elle traite des données à caractère personnel relatives à des tiers à la procédure pendante devant elle.
140 En revanche, s’agissant de la question de savoir si une partie peut se prévaloir d’une illégalité commise au détriment d’un tiers, celle-ci relève, en l’absence de disposition à ce sujet dans le droit de l’Union, de l’autonomie procédurale des États membres.
141 Certes, s’agissant des recours en justice destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l’Union, en vertu du principe d’autonomie procédurale, applicable en l’absence de disposition prévue dans le droit de l’Union, les modalités procédurales de ces recours doivent être ni moins favorables que celles régissant des situations similaires soumises au droit interne (principe d’équivalence), ni de nature à rendre impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 223 ainsi que jurisprudence citée).
142 Par ailleurs, ces modalités procédurales doivent également être conformes au droit à un procès équitable, tel que garanti à l’article 47 de la Charte, cette dernière ayant vocation à s’appliquer, conformément à son article 51, dans toutes les situations où les États membres mettent en œuvre le droit de l’Union.
143 Toutefois, force est de constater que ni le principe d’effectivité ni le droit à un procès équitable garanti à l’article 47 de la Charte n’exige, en principe, de reconnaître aux parties à une procédure judiciaire la possibilité de se prévaloir d’une violation du RGPD commise au détriment de tiers à cette procédure.
144 Par conséquent, il convient de répondre à la troisième question, sous f), que le RGPD doit être interprété en ce sens qu’une juridiction est tenue, dans le cadre de l’exercice de sa fonction juridictionnelle, de veiller à respecter ce règlement, lorsqu’elle traite des données à caractère personnel relatives à des tiers à une procédure. Le droit de l’Union n’exige pas que l’une des parties à cette procédure puisse se prévaloir de ce que ces données ont été collectées ou conservées de manière illicite, au sens dudit règlement, par l’autre partie, en violation des droits que ces tiers tirent du même règlement.
Sur les dépens
145 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (cinquième chambre) dit pour droit :
1) L’article 6, paragraphe 1, premier alinéa, sous c), et paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu à la lumière de l’article 8, paragraphe 2, et de l’article 52 de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
il ne s’oppose pas à une réglementation nationale qui, s’agissant d’un traitement de données à caractère personnel, effectué dans le cadre de l’examen des faits et de l’administration des preuves par une juridiction, se borne à prévoir qu’il revient aux parties de présenter des éléments de fait circonstanciés et conformes à la vérité ainsi qu’à imposer à cette juridiction de les prendre pleinement en considération, avant, le cas échéant, d’en faire une appréciation, sans comporter d’indications sur les circonstances et les conditions dans lesquelles les faits rapportés et les preuves produites par les parties contenant des données à caractère personnel peuvent être utilisés par ladite juridiction, pour autant qu’il existe une jurisprudence nationale claire, précise et d’application prévisible établissant elle-même les circonstances et les conditions dans lesquelles les faits rapportés et les preuves produites par les parties contenant des données à caractère personnel peuvent être utilisées par une juridiction, que cette jurisprudence réponde à un objectif d’intérêt public et qu’elle soit proportionnée à celui-ci.
2) L’article 17, paragraphe 3, sous e), du règlement 2016/679
doit être interprété en ce sens que :
cette disposition n’énonce pas une condition alternative de licéité qu’un traitement pourrait remplir pour être conforme à l’article 5, paragraphe 1, sous a), de ce règlement et qui serait distincte de l’une de celles énumérées à l’article 6, paragraphe 1, premier alinéa, dudit règlement.
3) L’article 5, paragraphe 1, sous c), du règlement 2016/679, lu en combinaison avec l’article 52, paragraphe 1, seconde phrase, de la charte des droits fondamentaux,
doit être interprété en ce sens que :
le principe de la « minimisation des données » ne requiert pas, pour une juridiction, de veiller au respect, pour chaque traitement de données à caractère personnel qu’elle réalise, du principe de proportionnalité, en s’assurant que les données traitées à cette occasion sont de nature à permettre la réalisation de l’objectif poursuivi par ce traitement, ainsi que strictement nécessaires à celle-ci, et que la gravité de l’ingérence dans les droits fondamentaux qu’implique la prise en compte de telles données afin de réaliser ledit traitement, est en relation avec l’intérêt que présente, pour cette juridiction, le recours à ces données pour réaliser le même traitement, pour autant que soient respectées les conditions prévues à l’article 5, paragraphe 1, sous c), du règlement 2016/679.
4) Les articles 7 et 8 de la charte des droits fondamentaux, l’article 5, paragraphe 1, du règlement 2016/679, l’article 6, paragraphe 1, premier alinéa, sous c), de ce règlement, lu en combinaison avec l’article 6, paragraphe 3, de celui-ci, et le principe de la « minimisation des données »
doivent être interprétés en ce sens que :
ils ne s’opposent pas à ce qu’un juge national utilise des éléments de preuve contenant des données à caractère personnel obtenus en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel par la partie les lui ayant transmis, lorsque cette partie n’a pas un intérêt légitime à un tel traitement qui serait supérieur à celui de simplement établir les éléments de fait qu’elle invoque. En revanche, avant de procéder à la divulgation de ces données aux autres parties ou à des tiers, cette juridiction doit vérifier que de telles données sont limitées à ce qui est nécessaire au regard des finalités pour lesquelles une telle divulgation est réalisée et, le cas échéant, prendre certaines mesures pour minimiser l’entrave au droit à la protection des données à caractère personnel qu’une telle divulgation est susceptible d’entraîner.
5) L’article 13, paragraphes 1 et 2, du règlement 2016/679
doit être interprété en ce sens que :
il ne s’oppose pas à ce qu’une juridiction nationale utilise, dans le cadre de l’exercice de sa fonction juridictionnelle, des données collectées par une partie ou par un tiers n’ayant pas respecté les obligations d’information qui leur incombaient en vertu de cette disposition.
6) Le règlement 2016/679
doit être interprété en ce sens que :
une juridiction est tenue, dans le cadre de l’exercice de sa fonction juridictionnelle, de veiller à respecter ce règlement, lorsqu’elle traite des données à caractère personnel relatives à des tiers à une procédure. Le droit de l’Union n’exige pas que l’une des parties à cette procédure puisse se prévaloir de ce que ces données ont été collectées ou conservées de manière illicite, au sens dudit règlement, par l’autre partie, en violation des droits que ces tiers tirent du même règlement.
Signatures
* Langue de procédure : l’allemand.
Arrêt de la Cour (deuxième chambre) du 18 juin 2026.#Z.R. et Ś. contre U. et Z.#Renvoi préjudiciel – Coopération judiciaire en matière civile – Règlement (CE) no 44/2001 – Compétence judiciaire, reconnaissance et exécution des décisions en matière civile et commerciale – Article 5, point 3 – Compétence spéciale en matière délictuelle ou quasi délictuelle – Lieu où le fait dommageable s’est produit ou risque de se produire – Personnes physiques et morales alléguant une atteinte à leurs droits de la personnalité résultant de la diffusion d’un contenu audiovisuel à la télévision et sur Internet – Compétence internationale des juridictions d’un État membre autre que l’État membre de production de ce contenu – Lieu de la matérialisation du dommage – Centre des intérêts de ces personnes – Contenu comportant des éléments permettant d’identifier indirectement une personne en tant qu’individu – Recours tendant à obtenir des mesures visant à éliminer et à prévenir les effets d’une telle atteinte ainsi qu’à la réparation du préjudice moral.#Affaire C-232/25.
18/06/2026
Arrêt de la Cour (première chambre) du 18 juin 2026.#Datenschutzbehörde et Dr. G S contre Bundesministerin für Justiz et D GmbH.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 77 et 79 – Voies de recours – Exercice parallèle – Articulation entre l’introduction d’une réclamation auprès d’une autorité nationale de contrôle et l’exercice d’un recours juridictionnel – Risque de décisions contradictoires – Principe de protection juridictionnelle effective – Autonomie procédurale des États membres – Principe d’effectivité – Principe d’équivalence.#Affaire C-414/24.
18/06/2026
Jurisprudence CJUE — 62024CJ0522
18/06/2026
Jurisprudence CJUE — 62024CJ0575
18/06/2026