Concurrence et RGPD : la CJUE valide la communication du VIN à des tiers

, le 19 mars 2026
La CJUE précise que le numéro d’identification du véhi­cule (VIN) consti­tue une donnée person­nelle dès lors qu’elle peut être asso­cié à une personne physique via des docu­ments d’immatriculation. Son partage avec les opéra­teurs indé­pen­dants est licite car imposé par une obli­ga­tion légale du droit de l’Union.

Affaire C‑319/​22, Gesamtverband Autoteile-Handel eV contre Scania CV AB, du 9 novembre 2023

Faits 

L’affaire oppose Gesamtverband Autoteile-Handel eV (ci-après : Gesamtverband), une asso­cia­tion profes­sion­nelle alle­mande repré­sen­tant 80% du commerce indé­pen­dant de pièces auto­mo­biles en Allemagne, au construc­teur suédois Scania CV AB (ci-après : Scania), l’un des plus grands fabri­cants de poids lourds en Europe.

Le litige porte sur l’accès aux infor­ma­tions tech­niques néces­saires à la répa­ra­tion et à l’entretien des véhi­cules, tel que prévu par le Règlement (UE) 2018/​858, qui vise à garan­tir une concur­rence équi­table entre les conces­sion­naires agréés et les opéra­teurs indé­pen­dants (répa­ra­teurs, fabri­cants de pièces, éditeurs d’informations tech­niques, etc.).

Conformément à l’art. 61 du Règlement 2018/​858, les construc­teurs doivent four­nir aux opéra­teurs indé­pen­dants un accès illi­mité, norma­lisé et non discri­mi­na­toire aux infor­ma­tions sur la répa­ra­tion et l’entretien des véhi­cules — notam­ment aux infor­ma­tions du système OBD (On-Board Diagnostics) et aux données tech­niques liées aux pièces de rechange – de manière « aisé­ment acces­sible, sous la forme d’ensembles de données lisibles par machine et élec­tro­ni­que­ment exploitables ».

Scania met effec­ti­ve­ment à dispo­si­tion ces infor­ma­tions via un site Internet, mais unique­ment par recherche manuelle. Les utili­sa­teurs doivent saisir soit des critères géné­raux (modèle, moto­ri­sa­tion, année), soit les sept derniers chiffres du numéro d’identification du véhi­cule (ou Vehicle Identification Number, ci-après : VIN) d’un véhi­cule spéci­fique. Les résul­tats peuvent être impri­més ou sauve­gar­dés en PDF – format non exploi­table élec­tro­ni­que­ment –, à l’exception des infor­ma­tions sur les pièces, qui sont dispo­nibles en XML.

Le problème central est que Scania ne four­nit aux opéra­teurs indé­pen­dants (autres que les répa­ra­teurs) aucune liste des VIN de ses véhi­cules, ni d’interface permet­tant une inter­ro­ga­tion auto­ma­ti­sée de sa base de données. Les répa­ra­teurs, eux, peuvent seule­ment accé­der aux VIN via les docu­ments d’immatriculation ou le châs­sis du véhi­cule confié par le client.

Dès lors, Gesamtverband estime que cette mise à dispo­si­tion ne respecte pas les exigences du Règlement 2018/​858, notam­ment en ce qui concerne :

  1. La forme des données (PDF non exploi­table électroniquement),
  2. L’accès aux VIN (non four­nis en liste, unique­ment acces­sibles via saisie manuelle),
  3. L’absence d’interface auto­ma­ti­sée permet­tant des requêtes programmées.

Il saisit donc le Landgericht Köln (tribu­nal régio­nal de Cologne). Ce dernier, confronté à des ques­tions juri­diques complexes – notam­ment sur la quali­fi­ca­tion du VIN comme donnée person­nelle et la licéité de son trai­te­ment –, décide de soumettre plusieurs ques­tions préju­di­cielles à la CJUE, dont la troi­sième portait préci­sé­ment sur la protec­tion des données person­nelles. La CJUE est notam­ment invi­tée à tran­cher si la commu­ni­ca­tion du VIN par les construc­teurs aux opéra­teurs indé­pen­dants pouvait être justi­fiée par une « obli­ga­tion légale » au sens de l’art. 6 par. 1 let. c RGPD – c’est-à-dire si le trai­te­ment de cette donnée (le VIN) est licite parce qu’imposé par le droit de l’Union.

Analyse de la CJUE

A la ques­tion préju­di­cielle rela­tive à la protec­tion des données, la Cour a répondu par l’affirmative, après une analyse en trois temps :

1. Le VIN peut être une donnée à carac­tère personnel

Sous l’angle du RGPD, son art. 4 par. 1 défi­nit une donnée person­nelle comme toute infor­ma­tion se rappor­tant à une personne physique iden­ti­fiable, direc­te­ment ou indirectement.

La CJUE rappelle que la quali­fi­ca­tion de donnée person­nelle dépend du contexte. Même si le VIN est un iden­ti­fiant tech­nique, il devient person­nel dès lors qu’il peut être asso­cié à une personne physique – par exemple via le certi­fi­cat d’immatriculation, qui mentionne obli­ga­toi­re­ment le VIN à côté du nom et de l’adresse du titu­laire du véhi­cule, selon la Directive 1999/​37/​CE du Conseil du 29 avril 1999 rela­tive aux docu­ments d’im­ma­tri­cu­la­tion des véhi­cules.

Ainsi, le VIN – défini comme un simple code alpha­nu­mé­rique attri­bué au véhi­cule par son construc­teur – est en tant que tel dépourvu de carac­tère person­nel. Toutefois, il acquiert ce carac­tère à l’égard de quiconque dispose raison­na­ble­ment de moyens permet­tant de l’as­so­cier à une personne physique déter­mi­née. C’est à la juri­dic­tion natio­nale de véri­fier, au cas par cas, si ces moyens existent. En d’autres termes, ce n’est pas le VIN lui-même qui consti­tue une donnée person­nelle, mais la possi­bi­lité concrète de le relier à une personne iden­ti­fiée ou iden­ti­fiable qui lui confère cette qualification.

En pratique, c’est au niveau de l’opé­ra­teur indé­pen­dant – et non du construc­teur – que ce lien peut s’éta­blir. En effet, c’est le certi­fi­cat d’im­ma­tri­cu­la­tion du véhi­cule qui permet d’as­so­cier le VIN au nom et à l’adresse de son titu­laire, et ce docu­ment se trouve entre les mains de l’opé­ra­teur indé­pen­dant, notam­ment du répa­ra­teur, auquel le client confie son véhi­cule. Dès lors, pour le construc­teur, le VIN n’est pas en soi une donnée à carac­tère person­nel ; il ne le devient qu’in­di­rec­te­ment, dans la mesure où le construc­teur le met à dispo­si­tion d’opé­ra­teurs indé­pen­dants qui, eux, disposent des moyens de le ratta­cher à une personne physique.

2. L’obligation légale existe bien dans le droit de l’Union

Pour être licite, un trai­te­ment de données person­nelles doit repo­ser sur un fonde­ment au sens de l’art. 6 RGPD. Dans le contexte qui nous occupe, le trai­te­ment doit être néces­saire au respect d’une obli­ga­tion légale. Ce fonde­ment doit être défini par le droit de l’Union ou d’un État membre, confor­mé­ment à l’art. 6 par. 1 let. c RGPD, et indi­quer les fina­li­tés du trai­te­ment. En outre, l’obligation légale doit répondre à un objec­tif d’intérêt public et être propor­tion­née à l’objectif légi­time poursuivi.

En l’espèce, l’art. 61 du Règlement 2018/​858 impose aux construc­teurs de four­nir aux opéra­teurs indé­pen­dants les infor­ma­tions sur la répa­ra­tion et l’entretien des véhi­cules, incluant l’identification non équi­voque du véhi­cule, soit le VIN (annexe X, point 2.5.1). Le Règlement 2018/​858 est un acte de l’Union. Par ailleurs, pour ce qui concerne la fina­lité du trai­te­ment, l’art. 5 Règlement 2018/​858 précise que ce Règlement impose aux construc­teurs de four­nir aux opéra­teurs indé­pen­dants un accès équi­table aux infor­ma­tions techniques.

3. Le trai­te­ment est propor­tionné et fondé sur un objec­tif d’intérêt public

Dans l’examen de la dernière condi­tion, la CJUE juge que la commu­ni­ca­tion du VIN est :

  • Nécessaire : seul le VIN permet une iden­ti­fi­ca­tion précise du véhi­cule, indis­pen­sable pour la recherche des pièces et infor­ma­tions techniques.
  • Proportionnée : aucun autre moyen moins intru­sif n’est aussi efficace.
  • Fondée sur un objec­tif d’intérêt public : favo­rise la concur­rence sur le marché des services d’entretien, dans le cadre du marché inté­rieur (libre circu­la­tion des marchan­dises, liberté d’établissement).

Solution rete­nue par la CJUE

La CJUE confirme ainsi que consti­tue une « obli­ga­tion légale », au sens de l’art. 6 par. 1 let. c RGPD, le Règlement 2018/​858. Il revient ainsi aux construc­teurs auto­mo­biles, de mettre les VIN des véhi­cules qu’ils fabriquent à dispo­si­tion des opéra­teurs indé­pen­dants, en tant que « respon­sables du trai­te­ment », au sens de l’art. 4 par. 7 RGPD.

Portée et consé­quences pratiques 

Cet arrêt de la CJUE consti­tue une clari­fi­ca­tion de l’articulation entre le droit de la concur­rence et le droit de la protec­tion des données. Il recon­naît que le VIN, bien qu’initialement neutre, peut deve­nir person­nel selon le contexte d’utilisation et qu’en tant que tel, son trai­te­ment est licite si imposé par une obli­ga­tion légale du droit de l’Union, à condi­tion qu’il soit propor­tionné et fondé sur un objec­tif d’intérêt public (in casu le bon fonc­tion­ne­ment du marché intérieur).

Par ailleurs, l’ar­rêt de la CJUE EDBS c. SRB (C‑413/​23 P), inter­venu posté­rieu­re­ment, s’ap­puie expli­ci­te­ment sur le présent arrêt afin de clari­fier la notion de donnée à carac­tère person­nel (pour un commen­taire de l’arrêt C‑413/​23, cf. swiss​pri​vacy​.law/​3​85/). La CJUE confirme que des données initia­le­ment non person­nelles (comme un numéro VIN ou des commen­taires pseu­do­ny­mi­sés) acquièrent un carac­tère person­nel dès lors qu’elles sont mises à la dispo­si­tion de tiers dispo­sant de « moyens raison­nables » permet­tant d’iden­ti­fier la personne physique concernée.

S’agissant des moda­li­tés concrètes de mise à dispo­si­tion des données, l’ar­rêt apporte égale­ment des préci­sions impor­tantes. En réponse aux ques­tions préju­di­cielles de la juri­dic­tion de renvoi, la CJUE clari­fie trois points.

Premièrement, l’obli­ga­tion de présen­ter les infor­ma­tions sous la forme d’en­sembles de données lisibles par machine et élec­tro­ni­que­ment exploi­tables couvre l’ensemble des infor­ma­tions sur la répa­ra­tion et l’en­tre­tien des véhi­cules, au sens de l’art. 3 point 48 du Règlement 2018/​858, et ne se limite pas aux seules infor­ma­tions rela­tives aux pièces de rechange visées à l’annexe X, point 6.1.

Deuxièmement, le Règlement n’im­pose pas aux construc­teurs de mettre en place une inter­face de base de données permet­tant des inter­ro­ga­tions auto­ma­ti­sées avec télé­char­ge­ment de résul­tats, il exige néan­moins que les données soient four­nies dans des fichiers dont le format sert à l’ex­ploi­ta­tion élec­tro­nique directe des ensembles de données qu’ils contiennent. Un accès exclu­si­ve­ment manuel – tel que celui proposé par Scania, qui se limi­tait à une recherche à l’écran avec sauve­garde en fichier PDF – ne satis­fait pas à cette exigence, dès lors qu’il ne permet pas l’ex­trac­tion auto­ma­ti­sée des données tech­niques par les opéra­teurs indépendants.

Enfin, s’agis­sant des infor­ma­tions rela­tives aux pièces de rechange, les construc­teurs sont tenus de consti­tuer une base de données permet­tant la recherche non seule­ment au moyen du VIN, mais aussi au moyen de critères supplé­men­taires tels que l’empattement, la puis­sance du moteur, le type de fini­tion ou les options. En revanche, la CJUE ne tranche pas expres­sé­ment la ques­tion de savoir si le construc­teur doit mettre à dispo­si­tion une liste complète et actua­li­sée de tous les VIN de ses véhi­cules ; elle se borne à exiger que les opéra­teurs indé­pen­dants puissent effec­tuer des recherches par tous les moyens énumé­rés à l’annexe X.



Proposition de citation : Rudy Yangi, Concurrence et RGPD : la CJUE valide la communication du VIN à des tiers, 19 mars 2026 in www.swissprivacy.law/402


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
swissprivacy.law