Arrêt CJUE C‑46/​23 du 14 mars 2024

I. Résumés des faits pertinents

Au mois de février 2020, la Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (admi­nis­tra­tion muni­ci­pale d’Ujpest – 4^e de Budapest-Capitale, Hongrie, ci-après :  l’« admi­nis­tra­tion d’Ujpest ») décide de four­nir une aide finan­cière aux rési­dents qui appar­tiennent à une caté­go­rie de personnes fragi­li­sées par la pandé­mie de COVID-19 et qui remplissent certaines condi­tions d’éligibilité.

À cette fin, elle s’adresse au Magyar Allamkincsar (Trésor public) et au Budapest Fovaros Kormanyhivatala IV. Kerületi Hivatala (bureau du Gouvernement de la capi­tale Budapest – bureau du 4^e arron­dis­se­ment, ci-après : le « bureau gouver­ne­men­tal ») en vue d’obtenir les données à carac­tère person­nel néces­saires pour la véri­fi­ca­tion de ces condi­tions d’éligibilité. Ces données comprennent notam­ment les données d’identification de base (nom, prénom, adresse, etc.) et les numé­ros de sécu­rité sociale des personnes physiques. Le Trésor public hongrois et le bureau gouver­ne­men­tal commu­niquent alors les données demandées.

Aux fins du verse­ment de l’aide finan­cière, l’administration d’Ujpest adopte l’arrêté muni­ci­pal n°16/2020, rela­tif à l’introduction du programme « Ujpest + Megbecsülé » (programme permet­tant aux citoyens béné­fi­ciant de pres­ta­tions assi­mi­lables à une pension, d’obtenir des bons d’achat à faire valoir au marché et à la halle de foire d’Ujpest), modi­fié et complété par l’arrêté muni­ci­pal n°30/2020. Ces arrê­tés contiennent des critères d’éligibilité à l’aide ainsi établie. L’administration d’Ujpest agrège les données obte­nues dans une base de données conçue aux fins de la mise en œuvre de son programme d’aide et créé un iden­ti­fiant ainsi qu’un code-barres spéci­fique pour chaque jeu de données.

II. Le problème et la procé­dure avant la CJUE 

Alertée par un signa­le­ment, la Nemzeti Adatvédelmi és Információszabadság Hatóság (auto­rité natio­nale de la protec­tion des données et de la liberté de l’information, Hongrie, ci-après : l’« auto­rité de contrôle hongroise ») a ouvert d’office, le 2 septembre 2020, une enquête rela­tive au trai­te­ment des données à carac­tère person­nel sur lequel repo­sait le programme d’aide susmen­tionné. Dans une déci­sion adop­tée le 22 avril 2022, cette auto­rité a constaté que l’administration d’Ujpest avait violé plusieurs dispo­si­tions des art. 5 RGPD et 14 RGPD ainsi que l’art. 12 par. 1 RGPD. Elle a égale­ment relevé que l’administration d’Ujpest n’avait pas informé les personnes concer­nées, dans le délai d’un mois, des caté­go­ries de données à carac­tère person­nel trai­tées dans le cadre de ce programme, des fina­li­tés du trai­te­ment en cause, ni des moda­li­tés selon lesquelles ces personnes pouvaient exer­cer leurs droits à cet égard.

L’autorité de contrôle hongroise a ordonné à l’administration d’Ujpest, en vertu de l’art. 58 par. 2 let. d RGPD, d’effacer les données à carac­tère person­nel des personnes concer­nées qui, selon les infor­ma­tions four­nies par le bureau gouver­ne­men­tal et le Trésor public hongrois, auraient certes eu droit à cette aide, mais ne l’auraient pas deman­dée. Elle a estimé que tant le Trésor public hongrois que le bureau gouver­ne­men­tal avaient violé les dispo­si­tions rela­tives au trai­te­ment des données à carac­tère person­nel desdites personnes. Elle a égale­ment condamné l’administration d’Ujpest et le Trésor public hongrois à payer une amende au titre de la protec­tion des données.

Par recours admi­nis­tra­tif conten­tieux, intro­duit devant le Fovarosi Törvényszék (Cour de Budapest), juri­dic­tion de renvoi, l’administration d’Ujpest conteste la déci­sion de l’autorité de contrôle hongroise en faisant valoir que cette dernière n’a pas le pouvoir d’ordonner l’effacement des données à carac­tère person­nel, en vertu de l’art. 58 par. 2 let. d RGPD, en l’absence de demande présen­tée par la personne concer­née, au sens de l’art. 17 RGPD. En s’appuyant sur un arrêt de la Cour suprême hongroise (arrêt Kfv.II.37.001/2021/6), la requé­rante en conclu que le droit à l’effacement, prévu à l’art. 17 RGPD, est conçu exclu­si­ve­ment comme un droit de la personne concernée.

À la suite d’un recours consti­tu­tion­nel intro­duit par l’autorité de contrôle hongroise, l’Alkotmanybirosag (Cour consti­tu­tion­nelle hongroise) a annulé l’arrêt susmen­tionné de la Kuria (Cour suprême), en jugeant que cette auto­rité est en droit d’ordonner d’office l’effacement des données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite, y compris en l’absence d’une demande présen­tée par la personne concer­née. Dans son argu­men­ta­tion, elle s’appuie sur l’avis n°39/2021 du comité euro­péen de la protec­tion des données selon lequel l’art. 17 RGPD prévoit deux hypo­thèses d’effacement distinctes, l’une étant l’effacement à la demande de la personne concer­née, l’autre consis­tant en une obli­ga­tion auto­nome du respon­sable du trai­te­ment, de sorte que l’art. 58 par. 2 let. g RGPD devrait être consi­déré comme une base juri­dique valable aux fins de l’effacement d’office de données à carac­tère person­nel trai­tées de manière illicite.

À la suite de cette dernière déci­sion, la juri­dic­tion de renvoi conti­nue d’éprouver des doutes en ce qui concerne l’interprétation des art. 17 RGPD et 58 par. 2 RGPD. Elle estime que le droit à l’effacement des données à carac­tère person­nel est défini à l’art. 17 par. 1 RGPD comme un droit de la personne concer­née et que cette dispo­si­tion ne comprend pas deux hypo­thèses distinctes d’effacement.

III. Les ques­tions préjudicielles 

La juri­dic­tion de renvoi cherche à déter­mi­ner si, indé­pen­dam­ment de l’exercice des droits de la personne concer­née, l’autorité de contrôle d’un État membre peut exiger du respon­sable du trai­te­ment ou du sous-trai­tant qu’il efface les données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite. Et si tel est le cas, sur quelle base juri­dique, puisque l’art. 58 par. 2 let. c RGPD prévoit expres­sé­ment une demande présen­tée par cette personne en vue d’exercer ses droits et que l’art. 58 par. 2 let. d RGPD envi­sage la mise en confor­mité des opéra­tions de trai­te­ment avec les dispo­si­tions dudit règle­ment. Pour sa part, l’art. 58 par. 2 let. g RGPD renvoie direc­te­ment à l’art. 17 RGPD, dont l’application exige­rait une demande expli­cite de la personne concernée.

Dans ces condi­tions, la Fovarosi Törvényszék (Cour de Budapest) a décidé de surseoir à statuer et de poser à la Cour deux ques­tions préjudicielles :

• L’art. 58 par. 2 let. c d et g RGPD doit-il être inter­prété en ce sens que l’autorité de contrôle d’un État membre, peut ordon­ner au respon­sable du trai­te­ment ou au sous-trai­tant d’effacer des données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite même en l’absence de demande expli­cite présen­tée par la personne concer­née confor­mé­ment à l’art. 17 par. 1 RGPD ?
• Dans le cas où il convien­drait de répondre à la première ques­tion en ce sens que l’autorité de contrôle peut ordon­ner au respon­sable du trai­te­ment ou au sous-trai­tant d’effacer des données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite même en l’absence de demande présen­tée à cet effet par la personne concer­née, cela est-il indé­pen­dant du fait que les données à carac­tère person­nel aient ou non été collec­tées auprès de la personne concernée ?

IV. Les réponses appor­tées par le CJUE

Concernant la première ques­tion, selon l’art. 58 par. 2, let. d RGPD, l’autorité de contrôle peut ordon­ner au respon­sable du trai­te­ment ou au sous-trai­tant de mettre les opéra­tions de trai­te­ment en confor­mité avec les dispo­si­tions de ce règle­ment, le cas échéant, de manière spéci­fique et dans un délai déter­miné. En outre, l’art. 58 par. 2 let. g RGPD prévoit que l’autorité de contrôle a le pouvoir d’ordonner la recti­fi­ca­tion ou l’effacement de données à carac­tère person­nel ou la limi­ta­tion du trai­te­ment en appli­ca­tion des art. 16, 17 et 18 RGPD, ainsi que la noti­fi­ca­tion de ces mesures aux desti­na­taires auxquels les données à carac­tère person­nel ont été divul­guées en appli­ca­tion de l’art. 17 par. 2 et de l’art. 19 RGPD.

La Cour à titre limi­naire, rappelle que les dispo­si­tions perti­nentes du droit de l’Union, mention­nées précé­dem­ment, doivent être lues conjoin­te­ment avec l’art. 5 par. 1 RGPD, qui énonce les prin­cipes rela­tifs au trai­te­ment des données à carac­tère person­nel et parmi lesquels figure notam­ment, celui prévoyant que les données à carac­tère person­nel doivent être trai­tées de manière licite, loyale et trans­pa­rente au regard de la personne concer­née. Il incombe donc au respon­sable du trai­te­ment de démon­trer qu’il respecte ces prin­cipes. Dans le cas contraire, les auto­ri­tés de l’État membre sont habi­li­tées à inter­ve­nir, confor­mé­ment à leurs missions et pouvoirs, prévus aux art. 57 et 58 RGPD.

A cet égard, la Cour a déjà précisé que, lorsqu’une auto­rité natio­nale de contrôle estime, à l’issue de son enquête, que la personne concer­née ne béné­fi­cie pas d’un niveau de protec­tion adéquat, elle est tenue, en appli­ca­tion du droit de l’Union, de réagir de manière appro­priée afin de remé­dier à l’insuffisance consta­tée, et ce indé­pen­dam­ment de l’origine ou de la nature de cette insuf­fi­sance. A cet effet, l’art. 58 par. 2 RGPD énumère les diffé­rentes mesures correc­tives que l’autorité de contrôle peut adop­ter. Il appar­tient à cette auto­rité de contrôle de choi­sir le moyen approprié.

Il est bon de préci­ser égale­ment que l’art. 58 par. 2 RGPD opère une distinc­tion entre les mesures correc­tives qui peuvent être ordon­nées d’office (let. d et g) et celles qui peuvent être adop­tées qu’à la suite d’une demande présen­tée par la personne concer­née en vue d’exercer ses droits (let. c). En ce qui concerne l’art. 17 par. 1 RGPD, une distinc­tion est égale­ment à faire entre l’effacement des données à la demande de la personne concer­née et, d’autre part, l’effacement décou­lant de l’existence d’une obli­ga­tion auto­nome, pesant sur le respon­sable du trai­te­ment, et ce indé­pen­dam­ment de toute demande de la personne concer­née. Rappelons égale­ment qu’en vertu de l’art. 5 par. 2 RGPD, le respon­sable du trai­te­ment doit s’assurer notam­ment, de la licéité du trai­te­ment des données qu’il effectue.

Il importe de préci­ser que, bien que le choix du moyen appro­prié et néces­saire relève de l’autorité natio­nale de contrôle et que celle-ci doit opérer ce choix en prenant en consi­dé­ra­tion toutes les circons­tances du cas d’espèce, cette auto­rité n’en est pas moins tenue de s’acquitter avec toute la dili­gence requise de sa mission consis­tant à veiller au plein respect du RGPD. Dès lors, en vue d’assurer une appli­ca­tion effec­tive du RGPD, il est néces­saire que cette auto­rité dispose des pouvoirs effec­tifs afin d’agir effi­ca­ce­ment contre les viola­tions de ce règle­ment et notam­ment d’y mettre fin.

Dans ces condi­tions, il y a lieu de consi­dé­rer que le pouvoir d’adopter certaines des mesures correc­tives visées à l’art. 58 par. 2 RGPD, notam­ment celles figu­rant sous la lettre d et g, peut être exercé d’office par l’autorité de contrôle d’un État membre dans la mesure où l’exercice d’office de ce pouvoir est requis pour lui permettre de s’acquitter de sa mission. Dès lors, lorsque cette auto­rité estime, à l’issue de son enquête, que ce trai­te­ment ne satis­fait pas aux exigences de ce règle­ment, elle est tenue en appli­ca­tion du droit de l’Union, d’adopter les mesures appro­priées afin de remé­dier à la viola­tion consta­tée, et ce indé­pen­dam­ment de l’existence d’une demande préa­lable présen­tée par la personne concer­née en vue d’exercer ses droits en appli­ca­tion de l’art. 17 par. 1 RGPD.

Par sa seconde ques­tion, la juri­dic­tion de renvoi demande, en substance, si l’art. 58 par. 2 RGPD doit être inter­prété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite peut viser tant des données collec­tées auprès de la personne concer­née que des données prove­nant d’une autre source.

Le libellé de l’art. 17 par. 1 RGPD établit une obli­ga­tion auto­nome pour le respon­sable du trai­te­ment, d’effacer les données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite, n’inclut aucune exigence rela­tive à l’origine des données collec­tées. Par consé­quent, il y a lieu de consi­dé­rer, à l’instar de l’ensemble des gouver­ne­ments ayant déposé des obser­va­tions écrites et de la Commission, que l’exercice du pouvoir d’adoption de mesures correc­trices, au sens de l’art. 58, par. 2 let. d et g RGPD, ne saurait dépendre du fait que les données à carac­tère person­nel en cause aient été ou non collec­tées direc­te­ment auprès de la personne concernée.

V. Conclusion

L’art. 58 par. 2 let. d et g RGPD doit être inter­prété en ce sens que l’autorité de contrôle d’un État membre est habi­li­tée, dans l’exercice de son pouvoir d’adoption des mesures correc­trices prévues à ces dispo­si­tions, à ordon­ner au respon­sable du trai­te­ment ou au sous-trai­tant d’effacer des données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite, et ce alors qu’aucune demande n’a été présen­tée à cet effet par la personne concer­née en vue d’exercer ses droits en appli­ca­tion de l’art. 17 par. 1 RGPD.

L’art. 58 par. 2 RGPD doit être inter­prété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à carac­tère person­nel ayant fait l’objet d’un trai­te­ment illi­cite peut viser tant des données collec­tées auprès de la personne concer­née que des données prove­nant d’une autre source.