Arrêt de la Cour (cinquième chambre) du 18 juin 2026.#NTH Haustechnik GmbH contre EM.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous e) – Limitation de la conservation – Article 6, paragraphe 1, premier alinéa, sous e) – Licéité du traitement desdites données relatif à un contrat de travail dans le cadre d’une procédure judiciaire – Article 17, paragraphe 3, sous e) – Absence d’obligation de procéder à l’effacement des mêmes données en cas de traitement nécessaire à la constatation, à l’exercice ou à la défense de droits en justice – Données collectées par l’employeur en vue d’établir un manquement grave de l’employé à ses obligations – Utilisation de preuves obtenues de manière illégale.#Affaire C-484/24.

Affaire C‑484/24

NTH Haustechnik GmbH

contre

EM

(demande de décision préjudicielle, introduite par Landesarbeitsgericht Niedersachsen)

Arrêt de la Cour (cinquième chambre) du 18 juin 2026

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous e) – Limitation de la conservation – Article 6, paragraphe 1, premier alinéa, sous e) – Licéité du traitement desdites données relatif à un contrat de travail dans le cadre d’une procédure judiciaire – Article 17, paragraphe 3, sous e) – Absence d’obligation de procéder à l’effacement des mêmes données en cas de traitement nécessaire à la constatation, à l’exercice ou à la défense de droits en justice – Données collectées par l’employeur en vue d’établir un manquement grave de l’employé à ses obligations – Utilisation de preuves obtenues de manière illégale »

1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Notion de traitement de données à caractère personnel – Versement dans un fichier, par une juridiction, de documents contenant des données à caractère personnel – Extraction, conservation ou utilisation, par une juridiction, desdites données communiquées sous forme dématérialisée – Inclusion – Vérification incombant à la juridiction nationale

[Charte des droits fondamentaux de l’Union européenne, art. 52 ; règlement du Parlement européen et du Conseil 2016/679, considérant 20 et art. 2, § 1 à 3, 4, points 2 et 6, 6, § 1, 1^er al., c), et § 3, et 8, § 2]

(voir points 52, 55, 57, 59-62)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire au respect d’une obligation légale incombant au responsable du traitement – Obligation de disposer d’une base juridique – Réglementation nationale ne précisant pas les conditions d’utilisation, par une juridiction, des preuves produites par les parties contenant des données à caractère personnel – Admissibilité – Condition – Existence d’une jurisprudence nationale établissant ces conditions d’utilisation de manière claire et prévisible

[Art. 16, § 1, TFUE ; charte des droits fondamentaux de l’Union européenne, art. 8, § 1 et 2, 51 et 52 ; règlement du Parlement européen et du Conseil 2016/679, considérants 1, 2, 7, 10, 41 et art. 1^er, 6, § 1, 1^er al., c), et § 3, 1^er et 2d al.]

(voir points 63-65, 68, 69, 71-80, disp. 1)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire à la constatation, à l’exercice ou à la défense de droits en justice – Exclusion

[Règlement du Parlement européen et du Conseil 2016/679, art. 5, § 1, a), 6, § 1, 1^er al., et 17, § 1, d), et § 3, e)]

(voir points 83, 85, 86, disp. 2)

4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Principes relatifs au traitement – Principe de minimisation des données – Obligation, pour une juridiction, de veiller au respect du principe de proportionnalité pour chaque traitement de données – Absence – Condition

[Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1, 2d phrase ; règlement du Parlement européen et du Conseil 2016/679, art. 5, § 1, c), et 6, § 1, 1^er al.]

(voir points 92-103, disp. 3)

5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire au respect d’une obligation légale incombant au responsable du traitement – Utilisation, par le juge national, d’éléments de preuve contenant des données à caractère personnel obtenus de manière illégale – Obtention de ces données en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel – Admissibilité – Divulgation desdites données aux parties ou à des tiers – Condition – Respect du principe de minimisation des données

[Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 47 ; règlement du Parlement européen et du Conseil 2016/679, considérant 39 et art. 5, § 1, et 6, § 1, 1^er al., c) et f), et § 3]

(voir points 105, 109-130, disp. 4)

6. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire au respect d’une obligation légale incombant au responsable du traitement – Utilisation, par le juge national, de données à caractère personnel collectées en méconnaissance des obligations d’information – Admissibilité

[Règlement du Parlement européen et du Conseil 2016/679, art. 5, § 1, a), 13, § 1 et 2, et 17, § 3, e)]

(voir points 135, 136, disp. 5)

7. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Obligations du responsable du traitement – Obligation d’une juridiction de respecter ce règlement en cas de traitement de données relatives à des tiers à une procédure – Inclusion – Possibilité pour l’une des parties à cette procédure de se prévaloir de l’illégalité du traitement desdites données commise au détriment d’un tiers – Exclusion

(Art. 288 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 47 et 51 ; règlement du Parlement européen et du Conseil 2016/679)

(voir points 141, 143, 144, disp. 6)

Résumé

Saisie à titre préjudiciel par le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe, Allemagne), la Cour précise si et à quelles conditions le juge national peut tenir compte de données à caractère personnel produites en tant qu’éléments de preuve, mais obtenues en violation du RGPD (1).

NTH Haustechnik GmbH (ci-après « NTH »), une entreprise de chauffage et de climatisation, a mis fin au contrat de travail d’EM, laquelle a continué d’avoir accès aux locaux et aux ordinateurs qui s’y trouvaient. Trois ans après, NTH a constaté qu’EM avait vendu, sur la plateforme de vente en ligne eBay, des biens dont l’entreprise revendique la propriété.

NTH a eu connaissance de ces ventes en accédant au compte privé d’EM sur eBay au moyen de son identifiant et de son mot de passe. Dans ce cadre, la juridiction de renvoi n’exclut pas que la collecte de données en cause ait été réalisée de manière illégale.

S’interrogeant ainsi sur la possibilité de tenir compte de telles preuves, la juridiction de renvoi a saisi la Cour.

Appréciation de la Cour

En premier lieu, afin de permettre à la juridiction de renvoi de vérifier si les traitements de données à caractère personnel relèvent, en l’occurrence, du champ d’application du RGPD, la Cour rappelle que, en l’état actuel du droit de l’Union, il appartient au droit national de déterminer les règles relatives à l’admissibilité et à l’appréciation des éléments de fait et de preuve.

Toutefois, la Cour précise que, chaque transmission de données à un responsable de traitement distinct du précédent entraînant corrélativement un acte de collecte de la part de celui-ci, une juridiction doit être regardée comme réalisant un tel acte de collecte lorsqu’elle recueille, sur la base de documents dématérialisés lui ayant été transmis par une partie, certaines données personnelles figurant dans ces documents.

En deuxième lieu, la Cour statue sur la question de savoir si une condition alternative de licéité est énoncée à l’article 17, paragraphe 3, sous e), du RGPD, qui prévoit une exception au droit de demander l’effacement de ses données, lorsque celles-ci sont nécessaires à la constatation, à l’exercice ou à la défense de droits en justice.

À cet égard, la Cour relève que cette exception au droit à l’effacement ne tient pas lieu de condition alternative de licéité, puisque le RGPD dresse la liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite (2).

En troisième lieu, la Cour précise si le principe de la « minimisation des données » requiert, pour une juridiction, de veiller au respect, pour chaque traitement de données à caractère personnel qu’elle réalise, du principe de proportionnalité quant aux données ainsi concernées.

À cet effet, la Cour rappelle que le RGPD (3), en prévoyant que les données à caractère personnel faisant l’objet d’un traitement doivent être adéquates, pertinentes et nécessaires au regard des finalités y afférentes, soumet une telle opération au respect du principe de la « minimisation des données ».

Si ce principe constitue une « expression » du principe de proportionnalité, cette circonstance n’implique pas pour autant que le premier mette en œuvre, à lui seul, le second (4). Or, les exigences prévues par le principe de la « minimisation des données » sont de nature à garantir que le choix de recourir à certaines données plutôt qu’à d’autres satisfait aux deux premières conditions découlant du respect du principe de proportionnalité (5).

Quant à la troisième condition découlant du principe de proportionnalité, tenant à ce que les ingérences aux droits fondamentaux ne doivent pas être disproportionnées par rapport aux objectifs poursuivis, la Cour la considère comme étant également assurée, en procédant à une analyse combinée de plusieurs dispositions du RGPD (6).

Dès lors, la Cour conclut que le principe de la « minimisation des données » ne requiert pas, pour une juridiction, de veiller au respect, pour chaque traitement de données à caractère personnel qu’elle réalise, du principe de proportionnalité quant aux données ainsi concernées, pour autant que soient respectées les exigences découlant du principe de la « minimisation des données ».

En quatrième lieu, la Cour se prononce sur la question de savoir si le RGPD (7) et la Charte (8) s’opposent à ce qu’un juge national utilise des éléments de preuve contenant des données à caractère personnel obtenues en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel.

Dans cette optique, la Cour constate, tout d’abord, que les traitements de données à caractère personnel effectués par une juridiction en lien avec les données à caractère personnel figurant dans les offres de preuve des parties sont, en principe, nécessaires au respect d’une obligation légale incombant à cette juridiction, à savoir celle de statuer sur l’admissibilité de ces offres de preuve et, lorsque ces dernières ont été déclarées admissibles au regard des critères prévus à cet effet par le droit national, celle d’en tenir compte pour rendre sa décision.

Ensuite, la Cour relève que cette obligation légale de la juridiction doit être regardée comme visant et étant de nature à permettre la réalisation d’un objectif d’intérêt public, puisqu’ayant trait au respect du droit à un procès équitable consacré par la Charte (9). Même si les données concernées ont été obtenues illicitement et que la partie qui les transmet n’a pas d’intérêt légitime supérieur à celui de simplement établir les éléments de fait qu’elle invoque, aucune mesure n’apparaît susceptible de réaliser aussi efficacement un tel objectif que celle consistant à permettre aux juridictions de traiter des données à caractère personnel figurant dans les offres de preuve formulées par les parties.

En outre, la Cour rappelle que le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être mis en balance avec le droit à un procès équitable. Eu égard à la fonction essentielle jouée dans la société par ce dernier droit, le fait d’obliger une juridiction à tenir compte de preuves obtenues en violation du RGPD n’apparaît pas comme étant de nature à porter une atteinte démesurée au droit à la vie privée et à la protection des données à caractère personnel, tel que garanti par la Charte. La Cour en déduit que ni la Charte ni le RGPD ne s’opposent à ce qu’un juge national utilise des éléments de preuve obtenus en violation du droit à la protection de la vie privée et du droit à la protection des données à caractère personnel par la partie, lorsque celle-ci n’a pas un intérêt légitime à un tel traitement qui serait supérieur à celui de simplement établir les éléments de fait qu’elle invoque.

En revanche, la Cour souligne que, avant de procéder à la divulgation de ces données aux parties ou à des tiers, la juridiction doit examiner si ces données se limitent à celles nécessaires au regard des finalités poursuivies, et, le cas échéant, prendre des mesures pour réduire autant que possible l’entrave au droit à la protection des données à caractère personnel qu’une telle divulgation est susceptible d’entraîner.

En cinquième et dernier lieu, s’agissant du traitement des données à caractère personnel relatives à des tiers, la Cour constate qu’une juridiction est tenue, dans l’exercice de sa fonction juridictionnelle, de respecter le RGPD, lorsqu’elle traite des données à caractère personnel relatives à des tiers à une procédure judiciaire. Toutefois, le droit de l’Union n’exige pas, en principe, de reconnaître aux parties à cette procédure la possibilité de se prévaloir d’une violation de ce règlement commise au détriment de tiers à cette procédure.

1 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Article 6, paragraphe 1, premier alinéa, du RGPD.

3 Article 5, paragraphe 1, sous c), du RGPD.

4 Article 52, paragraphe 1, seconde phrase, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

5 À savoir que la mesure en cause poursuit effectivement un objectif d’intérêt général reconnu par l’Union et que les ingérences qui en résultent pour les droits fondamentaux sont limitées au strict nécessaire.

6 Article 5, paragraphe 1, sous c), ainsi qu’article 6, paragraphe 1, premier alinéa, et paragraphe 3, second alinéa.

7 Article 5, paragraphe 1, du RGPD, et article 6, paragraphe 1, premier alinéa, sous c), du RGPD, lu en combinaison avec l’article 6, paragraphe 3, de celui-ci, et le principe de la « minimisation des données ».

8 Articles 7 et 8 de la Charte.

9 Article 47 de la Charte.