Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 11 janvier 2024, C‑231/​22

Arrêt de la Cour de justice de l’Union euro­péenne (CJUE) du 27 février 2025, C‑638/​23

Faits

Le premier arrêt porte sur la publi­ca­tion en février 2019 d’un docu­ment conte­nant des données person­nelles qui n’auraient pas dû y figu­rer selon les pres­crip­tions légales. Une entité admi­nis­tra­tive, nommée le Moniteur belge et char­gée de la mise à dispo­si­tion au public de docu­ments offi­ciels, publie sur son site inter­net un docu­ment portant sur la modi­fi­ca­tion des statuts d’une société. Or, en raison d’une erreur et de manière contraire au droit, les noms et comptes bancaires des asso­ciés ainsi que les montants rembour­sés ayant donné lieu à la modi­fi­ca­tion y sont mention­nés. Sa demande d’effacement de ces données person­nelles dépo­sée ayant été refu­sée, l’un des asso­ciés mention­nés porte plainte auprès de l’Autorité de protec­tion des données. Cette dernière constate que la demande est fondée et émet une répri­mande à l’encontre du Moniteur belge.

Le second arrêt concerne l’envoi en 2021 de cour­riers de rappel aux rési­dents du Land du Tyrol non vacci­nés contre le virus COVID-19. L’Office, en tant qu’entité admi­nis­tra­tive auxi­liaire du gouver­ne­ment du Land du Tyrol, est char­gée de l’envoi des cour­riers. Pour ce faire, elle mandate deux entre­prises privées et leur donne accès au registre central des vacci­na­tions, ainsi qu’à celui des patients (sur lequel figurent les adresses postales), leur permet­tant ainsi de croi­ser les infor­ma­tions et d’expédier les courriers.

L’un des desti­na­taires saisit l’Autorité de protec­tion des données qui constate que l’Office n’a pas de droit d’accès aux registres préci­tés et que le trai­te­ment est donc illicite.

Suite aux déci­sions émises à leur encontre, le Moniteur Belge et l’Office recourent et les juri­dic­tions de renvoi belge et autri­chienne soumettent tour à tour à la CJUE la ques­tion suivante : Lorsque le droit natio­nal défi­nit les fina­li­tés et les moyens du trai­te­ment, qui est le respon­sable du traitement ?

Droit

Pour y répondre, la CJUE commence par reprendre la notion de respon­sable du trai­te­ment défi­nie à l’art. 4 par. 7 RGPD. Dans la seconde partie de cette dispo­si­tion, le légis­la­teur euro­péen a indi­qué que dans le cas où le droit natio­nal déter­mine les fina­li­tés et les moyens du trai­te­ment de données, « le respon­sable du trai­te­ment peut être dési­gné ou les critères spéci­fiques appli­cables à sa dési­gna­tion peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ». Selon la juris­pru­dence constante, la Cour rappelle que la notion de respon­sable du trai­te­ment doit être inter­pré­tée de manière large, assu­rant ainsi une protec­tion efficace.

Pour déter­mi­ner si une entité est respon­sable du trai­te­ment, la CJUE prévoit un examen qui peut être résumé en deux étapes :

1. Est-ce que le droit natio­nal prévoit les fina­li­tés et les moyens du traitement ?
2. Le respon­sable du trai­te­ment est-il dési­gné par la base légale ou les critères permet­tant de le dési­gner comme tel sont-il prévus par le droit national ?

Il est précisé ici que ces déter­mi­na­tions peuvent être déduites tant d’indications expli­cites que de manière impli­cite. Néanmoins, lorsque la dési­gna­tion ne ressortent pas expli­ci­te­ment de la dispo­si­tion, il est requis « que cette déter­mi­na­tion découle de manière suffi­sam­ment certaine du rôle, de la mission et des attri­bu­tions dévo­lus à la personne ou à l’entité concer­née » (§ 30 de l’arrêt C‑231/​22). Cela signi­fie qu’une entité sera consi­dé­rée comme respon­sable du trai­te­ment s’il existe des éléments probants permet­tant d’établir que telle était l’intention du législateur.

En outre et confor­mé­ment au consid. 45 RGPD, une liste exhaus­tive des trai­te­ments auto­ri­sés n’est pas exigée. Pour résu­mer, il suffit que la base légale déter­mine l’étendue du trai­te­ment des données à carac­tère person­nel et il n’est pas non plus néces­saire que l’entité exerce une influence sur la déter­mi­na­tion des fina­li­tés et des moyens du traitement.

Dans l’arrêt du Moniteur belge, la CJUE a consi­déré que le droit natio­nal a fixé les fina­li­tés et moyens du trai­te­ment de données, à savoir la collecte, l’enregistrement et la publi­ca­tion de données person­nelles afin d’informer le public de l’existence de docu­ments. Ce faisant, le Moniteur belge, en tant qu’entité char­gée du trai­te­ment, était dési­gné de manière impli­cite par le droit natio­nal comme respon­sable du traitement.

S’agissant de l’Office du Land du Tyrol, la CJUE a renvoyé la ques­tion de la quali­fi­ca­tion de cette entité comme respon­sable du trai­te­ment à la juri­dic­tion de renvoi. Toutefois, elle a précisé que le fait qu’elle ne dispose pas de la person­na­lité juri­dique ne saurait empê­cher qu’on la quali­fie de respon­sable de trai­te­ment. En effet, le RGPD exige, à tout le moins, que le respon­sable du trai­te­ment ait la capa­cité de respec­ter en fait et en droit les obli­ga­tions qui lui incombe (p. ex. faire l’objet d’une plainte devant l’Autorité de protec­tion des données).

Finalement, la Cour mentionne encore qu’il peut y avoir des respon­sables du trai­te­ment conjoints établis par le droit natio­nal lorsque le légis­la­teur déter­mine pour les diffé­rents trai­te­ments, les fina­li­tés et les moyens ainsi que les obli­ga­tions respec­tives de chaque respon­sable (art. 26 par. 1 et art. 4 par. 7 RGPD).

Appréciation

Ces arrêts de la CJUE qui portent sur l’interprétation de la notion du respon­sable dans le cas où les fina­li­tés et les trai­te­ments sont déter­mi­nés par le légis­la­teur confirment les Lignes direc­trices 07/​2020 du CEPD concer­nant les notions de respon­sable du trai­te­ment et de sous-trai­tant dans le RGPD. Quand bien même, ces préci­sions sont les bien­ve­nues dans la mesure où elles visent à garan­tir la protec­tion des droits des personnes concer­nées, elles complexi­fient la distinc­tion entre un sous-trai­tant et un respon­sable de trai­te­ment. En effet, s’il est néces­saire d’interpréter la loi pour déter­mi­ner que cette dernière désigne de manière impli­cite une entité comme respon­sable du trai­te­ment bien qu’elle n’exerce aucune influence sur les fina­li­tés et les moyens du trai­te­ment, il n’est pas certain que les personnes concer­nées puissent le faire d’elles-mêmes. Toutefois, la CJUE précise que la situa­tion à privi­lé­gier serait que l’entité soit dési­gnée comme respon­sable du trai­te­ment expli­ci­te­ment par la loi. Le CEPD suit égale­ment cette approche (Lignes direc­trices du CEPD pour les colé­gis­la­teurs sur les éléments clés des propo­si­tions légis­la­tives, cf. swiss​pri​vacy​.law/​359).

En droit suisse

L’art. 5 let. j LPD ne se prononce pas sur l’hypothèse dans laquelle les fina­li­tés et les moyens sont déter­mi­nés par le légis­la­teur fédé­ral. Toutefois, la Directive 2016/​680, qui fait partie de l’acquis de Schengen, la mentionne expres­sé­ment (art. 3 par. 8 Directive 2016/​680). Dès lors, la juris­pru­dence de la CJUE est perti­nente pour les trai­te­ments visés par cette norme.

Ce faisant, la ques­tion se pose de savoir si cette inter­pré­ta­tion trouve récep­tion en Suisse car, à ce jour, il ne semble n’y avoir aucune juris­pru­dence helvé­tique y relative.

Il nous appa­raît judi­cieux de suivre l’approche de la CJUE car elle permet de pallier l’absence de dési­gna­tion expli­cite du respon­sable du trai­te­ment dans la loi et partant d’éviter un conflit de compé­tence néga­tif. Ainsi, et comme indi­qué par la CJUE, cette inter­pré­ta­tion large assure une protec­tion des droits de personnes concernées.

On mention­nera à titre d’exemple, l’Ordonnance sur le trai­te­ment des données signa­lé­tiques biomé­triques du 6 décembre 2013 (RS 361.3) qui bien qu’elle ne désigne pas expli­ci­te­ment l’Office fédé­ral de la police (fedpol) en tant que respon­sable du trai­te­ment, lui attri­bue des compé­tences qui devraient être inter­pré­tées à notre sens, de telle manière que fedpol est respon­sable du trai­te­ment (cf. art. 1 : compé­tence de fedpol et fina­li­tés du trai­te­ment ; art. 3 : tâches de fedpol ; art. 5 : les droits des personnes concer­nées peuvent être exer­cés auprès de fedpol). Ce faisant, ces arrêts devraient servir d’inspiration au droit suisse.