La jurisprudence francophone des Cours suprêmes


recherche avancée

27/10/2022 | CJUE | N°C-129/21

CJUE | CJUE, Arrêt de la Cour, Proximus NV contre Gegevensbeschermingsautoriteit., 27/10/2022, C-129/21


 ARRÊT DE LA COUR (quatrième chambre)

27 octobre 2022 ( *1 )

« Renvoi préjudiciel – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58/CE – Article 12 – Annuaires publics et services de renseignements téléphoniques – Consentement de l’abonné – Obligations du fournisseur des annuaires et des services de renseignement – Règlement (UE) 2016/679 – Article 17 – Droit à l’effacement (“droit à l’oubli”) – Article 5, paragraphe

 2 – Article 24 – Obligations d’information et
responsabilité du responsable du traitement »

Dans l’affaire C‑129/2...

 ARRÊT DE LA COUR (quatrième chambre)

27 octobre 2022 ( *1 )

« Renvoi préjudiciel – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58/CE – Article 12 – Annuaires publics et services de renseignements téléphoniques – Consentement de l’abonné – Obligations du fournisseur des annuaires et des services de renseignement – Règlement (UE) 2016/679 – Article 17 – Droit à l’effacement (“droit à l’oubli”) – Article 5, paragraphe 2 – Article 24 – Obligations d’information et
responsabilité du responsable du traitement »

Dans l’affaire C‑129/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique), par décision du 24 février 2021, parvenue à la Cour le 2 mars 2021, dans la procédure

Proximus NV

contre

Gegevensbeschermingsautoriteit,

LA COUR (quatrième chambre),

composée de M. C. Lycourgos, président de chambre, Mme L. S. Rossi (rapporteure), MM. J.‑C. Bonichot, S. Rodin et Mme O. Spineanu‑Matei, juges,

avocat général : M. A. M. Collins,

greffier : Mme M. Ferreira, administratrice principale,

vu la procédure écrite et à la suite de l’audience du 9 février 2022,

considérant les observations présentées :

– pour Proximus NV, par Mes P. Craddock et T. de Haan, avocats, ainsi que par Me E. Van Bogget, advocaat,

– pour Gegevensbeschermingsautoriteit, par Mes C. Buggenhoudt, E. Cloots et J. Roets, advocaten,

– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. E. De Bonis, avvocato dello Stato,

– pour le gouvernement letton, par M. E. Bārdiņš, Mmes J. Davidoviča et K. Pommere, en qualité d’agents,

– pour le gouvernement portugais, par Mme P. Barros da Costa, M. L. Inez Fernandes, Mmes M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

– pour le gouvernement roumain, par Mmes E. Gane et L. Liţu, en qualité d’agents,

– pour la Commission européenne, par MM. S. L. Kalėda, H. Kranenborg et P.-J. Loewenthal, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 28 avril 2022,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 12, paragraphe 2, lu en combinaison avec l’article 2, second alinéa, sous f), de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la
directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »), ainsi que de l’article 5, paragraphe 2, et des articles 17, 24 et 95 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la
protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant Proximus NV, société de droit public belge, à la Gegevensbeschermingsautoriteit (Autorité de protection des données, Belgique) (ci-après l’« APD »), au sujet de la décision par laquelle la Geschillenkamer van de Gegevensbeschermingsautoriteit (chambre du contentieux de l’APD, ci-après la « chambre du contentieux ») a imposé à Proximus des mesures correctives et une amende de 20000 euros pour violation de plusieurs dispositions du
RGPD.

Le cadre juridique

Le droit de l’Union

La directive 95/46/CE

3 L’article 2, sous h), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), dispose :

« Aux fins de la présente directive, on entend par :

[...]

h) “consentement de la personne concernée”: toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

La directive 2002/58

4 Les considérants 10, 17, 38 et 39 de la directive 2002/58 sont ainsi libellés :

« (10) Dans le secteur des communications électroniques, la directive 95/46/CE est applicable notamment à tous les aspects de la protection des droits et libertés fondamentaux qui n’entrent pas expressément dans le cadre de la présente directive, y compris les obligations auxquelles est soumis le responsable du traitement des données à caractère personnel et les droits individuels. [...]

[...]

(17) Aux fins de la présente directive, le consentement d’un utilisateur ou d’un abonné, que ce dernier soit une personne physique ou morale, devrait avoir le même sens que le consentement de la personne concernée tel que défini et précisé davantage par la directive 95/46/CE. Le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet.

[...]

(38) Les annuaires d’abonnés aux services de communications électroniques sont largement diffusés et publics. Pour protéger la vie privée des personnes physiques et l’intérêt légitime des personnes morales, il importe que l’abonné soit à même de déterminer si les données à caractère personnel qui le concernent doivent être publiées dans un annuaire et, dans l’affirmative, lesquelles de ces données doivent être rendues publiques. Il convient que les fournisseurs d’annuaires publics informent les
abonnés qui figureront dans ces annuaires des fins auxquelles ceux-ci sont établis et de toute utilisation particulière qui peut être faite des versions électroniques des annuaires publics, notamment grâce aux fonctions de recherche intégrées dans le logiciel, telles que les fonctions de recherche inverse qui permettent aux utilisateurs d’un annuaire de trouver le nom et l’adresse d’un abonné à partir d’un simple numéro de téléphone.

(39) C’est à la partie qui collecte des données à caractère personnel auprès d’abonnés que devrait incomber l’obligation d’informer ceux-ci des fins auxquelles sont établis des annuaires publics comportant des données personnelles les concernant. Si ces données peuvent être transmises à un ou plusieurs tiers, l’abonné devrait être informé de cette possibilité ainsi que des destinataires ou catégories de destinataires éventuels. Une telle transmission ne devrait pouvoir se faire que s’il est
garanti que les données ne pourront pas être utilisées à des fins autres que celles pour lesquelles elles ont été collectées. Si la partie qui a collecté ces données auprès de l’abonné ou un tiers quelconque auquel elles ont été transmises souhaitent les exploiter à d’autres fins, ladite partie ou ledit tiers devront obtenir une nouvelle fois le consentement de l’abonné. »

5 L’article 1er de cette directive prévoit :

« 1.   La présente directive prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans la Communauté.

2.   Les dispositions de la présente directive précisent et complètent la directive 95/46/CE aux fins énoncées au paragraphe 1. En outre, elles prévoient la protection des intérêts légitimes des abonnés qui sont des personnes morales.

[...] »

6 Aux termes de l’article 2, second alinéa, sous f), de ladite directive, intitulé « Définitions » :

« Les définitions suivantes sont aussi applicables :

[...]

f) le “consentement” d’un utilisateur ou d’un abonné correspond au “consentement de la personne concernée” figurant dans la directive 95/46/CE ».

7 L’article 12 de la même directive, intitulé « Annuaires d’abonnés », énonce :

« 1.   Les États membres veillent à ce que les abonnés soient informés gratuitement et avant d’y être inscrits des fins auxquelles sont établis des annuaires d’abonnés imprimés ou électroniques accessibles au public ou consultables par l’intermédiaire de services de renseignements, dans lesquels les données à caractère personnel les concernant peuvent figurer, ainsi que de toute autre possibilité d’utilisation reposant sur des fonctions de recherche intégrées dans les versions électroniques des
annuaires.

2.   Les États membres veillent à ce que les abonnés aient la possibilité de décider si les données à caractère personnel les concernant, et lesquelles de ces données, doivent figurer dans un annuaire public, dans la mesure où ces données sont pertinentes par rapport à la fonction de l’annuaire en question telle qu’elle a été établie par le fournisseur de l’annuaire. Ils font également en sorte que les abonnés puissent vérifier, corriger ou supprimer ces données. La non‑inscription dans un
annuaire public d’abonnés, la vérification, la correction ou la suppression de données à caractère personnel dans un tel annuaire est gratuite.

3.   Les États membres peuvent demander que le consentement des abonnés soit également requis pour toute finalité d’annuaire public autre que la simple recherche des coordonnées d’une personne sur la base de son nom et, au besoin, d’un nombre limité d’autres paramètres.

[...] »

Le RGPD

8 Les considérants 42, 66 et 173 du RGPD disposent :

« (42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. En particulier, dans le cadre d’une déclaration écrite relative à une autre question, des garanties devraient exister afin de garantir que la personne concernée est consciente du consentement donné et de sa portée. [...] une déclaration de consentement rédigée préalablement par le responsable
du traitement devrait être fournie sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples, et elle ne devrait contenir aucune clause abusive. Pour que le consentement soit éclairé, la personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne
concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.

[...]

(66) Afin de renforcer le “droit à l’oubli” numérique, le droit à l’effacement devrait également être étendu de façon à ce que le responsable du traitement qui a rendu les données à caractère personnel publiques soit tenu d’informer les responsables du traitement qui traitent ces données à caractère personnel qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Ce faisant, ce responsable du traitement devrait prendre des mesures raisonnables, compte
tenu des technologies disponibles et des moyens dont il dispose, y compris des mesures techniques afin d’informer les responsables du traitement qui traitent les données à caractère personnel de la demande formulée par la personne concernée.

[...]

(173) Le présent règlement devrait s’appliquer à tous les aspects de la protection des libertés et droits fondamentaux à l’égard du traitement des données à caractère personnel qui ne sont pas soumis à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE [...], y compris les obligations incombant au responsable du traitement et les droits des personnes physiques. Afin de clarifier la relation entre le présent règlement et la directive 2002/58/CE, cette directive
devrait être modifiée en conséquence. Après l’adoption du présent règlement, il convient de réexaminer la directive 2002/58/CE, notamment afin d’assurer la cohérence avec le présent règlement. »

9 L’article 4, points 2, 7 et 11, de ce règlement est ainsi libellé :

« Aux fins du présent règlement, on entend par :

[...]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]

[...]

11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

10 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.   Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

11 Aux termes de l’article 6 du RGPD, intitulé « Licéité du traitement » :

« 1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

12 L’article 7 du RGPD, intitulé « Conditions applicables au consentement », énonce :

« 1.   Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.

[...]

3.   La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.

[...] »

13 L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

14 L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », est ainsi libellé :

« 1.   La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[...]

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

[...]

d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;

2.   Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à
caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

15 L’article 19 du RGPD, intitulé « Obligation de notification en ce qui concerne la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement », prévoit :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces
destinataires si celle-ci en fait la demande. »

16 Aux termes de l’article 24 du RGPD, intitulé « Responsabilité du responsable du traitement » :

« 1.   Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

2.   Lorsque cela est proportionné au regard des activités de traitement, les mesures visées au paragraphe 1 comprennent la mise en œuvre de politiques appropriées en matière de protection des données par le responsable du traitement.

[...] »

17 L’article 94 du RGPD, intitulé « Abrogation de la directive 95/46/CE », énonce, à son paragraphe 2 :

« Les références faites à la directive abrogée s’entendent comme faites au présent règlement. [...] »

18 L’article 95 du RGPD, intitulé « Relation avec la directive 2002/58/CE », dispose :

« Le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans l’Union [européenne] en ce qui concerne les aspects pour lesquels elles sont soumises à des obligations spécifiques ayant le même objectif énoncées dans la directive 2002/58/CE. »

Le droit belge

19 L’article 133 de la wet betreffende de elektronische communicatie (loi relative aux communications électroniques), du 13 juin 2005 (Belgisch Staatsblad,20 juin 2005, p. 28070), qui assure dans le droit belge la transposition de l’article 12 de la directive 2002/58, est ainsi libellé :

« § 1.   Les fournisseurs d’un service téléphonique accessible au public informent leurs abonnés gratuitement et avant de les inscrire dans un annuaire ou un service de renseignements téléphonique, de :

1o la fonction de l’annuaire ou du service de renseignements téléphonique ;

2o la gratuité de l’inscription dans l’annuaire ou le service de renseignements téléphonique ;

3o le cas échéant, des applications de l’annuaire ou du service de renseignements téléphonique qui s’écartent de la recherche de données à caractère personnel sur la base du nom et, le cas échéant, le domicile, la résidence ou le lieu d’établissement de l’abonné.

Seules les données à caractère personnel qui sont pertinentes par rapport à la fonction telle que communiquée conformément à l’alinéa 1er, et dont l’abonné en question a fait savoir qu’elles pouvaient figurer dans l’annuaire ou le service de renseignements téléphonique en question, peuvent figurer dans l’annuaire ou le service de renseignements téléphonique.

À cette fin, deux questions distinctes sont posées par l’opérateur à l’abonné :

1o s’il souhaite que ses coordonnées figurent dans l’annuaire universel et dans le service de renseignements universel ;

2o s’il souhaite que ses coordonnées figurent dans d’autres annuaires ou d’autres services de renseignements.

[...]

§ 2.   Tout abonné a le droit de consulter les données à caractère personnel le concernant conformément aux conditions fixées par ou en vertu de la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel.

Tout abonné a en outre le droit de faire corriger ou de faire supprimer gratuitement de l’annuaire ou du service de renseignements téléphonique, les données à caractère personnel le concernant selon les procédures et aux conditions fixées par le Roi après avis de la Commission de la protection de la vie privée et de l’Institut. »

20 L’article 45, paragraphe 2, de ladite loi oblige les opérateurs de services téléphoniques à mettre les données relatives à leurs abonnés à la disposition des fournisseurs d’annuaires publics. En vertu de l’article 45, paragraphe 3, de la même loi, ces opérateurs isolent les données relatives aux abonnés qui ont demandé à ne pas figurer dans un annuaire, de manière à ce que ces abonnés puissent recevoir l’annuaire sans que leurs données y figurent.

Le litige au principal et les questions préjudicielles

21 Proximus, un fournisseur de services de télécommunications en Belgique, fournit également des annuaires téléphoniques et des services de renseignements téléphoniques accessibles au public (ci-après les « annuaires »), conformément aux dispositions de la loi relative aux communications électroniques. Ces annuaires contiennent le nom, l’adresse et le numéro de téléphone (ci-après les « coordonnées ») des abonnés des différents fournisseurs de services téléphoniques accessibles au public (ci-après
les « opérateurs »). D’autres annuaires existent, publiés par des tiers.

22 Les coordonnées de ces abonnés sont communiquées régulièrement à Proximus par les opérateurs, à l’exception de celles des abonnés qui ont exprimé le souhait de ne pas figurer dans les annuaires édités par Proximus. En Belgique, la distinction entre les abonnés qui veulent figurer dans un annuaire et ceux qui ne le souhaitent pas se traduit, dans la pratique, par l’attribution d’un code dans l’enregistrement de chaque abonné, à savoir « NNNNN », pour les abonnés dont les coordonnées peuvent
apparaître, et « XXXXX » pour les abonnés dont les coordonnées restent confidentielles. Proximus transmet également les coordonnées qu’elle reçoit à un autre fournisseur d’annuaires.

23 Le plaignant est un abonné de l’opérateur de services téléphoniques Telenet, actif sur le marché belge. Telenet ne fournit pas d’annuaires, mais transmet les coordonnées de ses abonnés à des fournisseurs d’annuaires, notamment à Proximus.

24 Le 13 janvier 2019, cet abonné a demandé à Proximus de ne pas faire figurer ses coordonnées dans les annuaires édités tant par Proximus que par des tiers. À la suite de cette demande, Proximus a modifié le statut de cet abonné dans son système informatique, afin que les coordonnées dudit abonné ne soient plus rendues publiques.

25 Le 31 janvier 2019, Proximus a reçu de la part de Telenet une mise à jour périodique des données des abonnés de ce dernier. Cette mise à jour contenait de nouvelles données de l’abonné concerné, qui n’étaient pas indiquées comme étant confidentielles. Ces informations ont fait l’objet d’un traitement automatisé par Proximus et ont été enregistrées, de sorte qu’elles figuraient de nouveau dans les annuaires de cette dernière.

26 Le 14 août 2019, après avoir constaté que son numéro de téléphone avait été publié dans les annuaires de Proximus et de tiers, l’abonné concerné a demandé une nouvelle fois à Proximus de ne pas y faire figurer ses données. Le même jour, Proximus a répondu au plaignant qu’elle avait supprimé ses données des annuaires et contacté Google pour que les liens pertinents vers le site Internet de Proximus soient supprimés. Proximus a également informé cet abonné qu’elle avait transmis ses coordonnées à
d’autres fournisseurs d’annuaires et que, grâce aux mises à jour mensuelles, ces fournisseurs avaient été informés de la demande du plaignant.

27 Dans le même temps, ledit abonné a déposé une plainte auprès de l’APD contre Proximus, au motif que, en dépit de sa demande de ne pas faire figurer ses coordonnées dans les annuaires, son numéro de téléphone apparaissait néanmoins dans certains de ces annuaires.

28 Le 5 septembre 2019, l’abonné concerné et Proximus ont encore eu des échanges concernant la publication des données de cet abonné dans l’annuaire d’un tiers. Dans ce contexte, Proximus a souligné qu’elle transmet les coordonnées de ses abonnés à d’autres fournisseurs d’annuaires, mais qu’elle n’a aucune vue sur les procédures de fonctionnement interne de ces fournisseurs.

29 Le 30 juillet 2020, après une procédure contradictoire, la chambre du contentieux a adopté une décision par laquelle elle a imposé à Proximus des mesures correctives et lui a infligé une amende d’un montant de 20000 euros pour violation, notamment, de l’article 6 du RGPD, lu en combinaison avec l’article 7 de ce règlement, et de l’article 5, paragraphe 2, dudit règlement, lu en combinaison avec l’article 24 de celui-ci. En particulier, elle a, d’abord, ordonné à Proximus de donner une suite
appropriée et immédiate au retrait du consentement par l’abonné concerné et de se conformer aux demandes de cet abonné visant à exercer son droit à l’effacement des données le concernant. Elle a, ensuite, ordonné à Proximus de prendre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel qu’elle effectue soient conformes aux dispositions du RGPD. Enfin, elle a ordonné à Proximus de cesser de transmettre de manière illicite
ces données à d’autres fournisseurs d’annuaires.

30 Le 28 août 2020, Proximus a introduit un recours contre cette décision devant le hof van beroep te Brussel (cour d’appel de Bruxelles, Belgique).

31 Selon Proximus, conformément à l’article 45, paragraphe 3, de la loi relative aux communications électroniques, le consentement de l’abonné n’est pas requis, mais les abonnés doivent eux‑mêmes demander à ne pas figurer dans les annuaires, selon un système dit d’« opt-out ». À défaut d’une telle demande, l’abonné concerné peut effectivement figurer dans ces annuaires. De ce fait, selon Proximus, aucun « consentement », au sens de la directive 95/46 ou au sens du RGPD, n’est, en l’occurrence,
nécessaire de la part de l’abonné.

32 D’un avis opposé, l’APD a fait valoir, en substance, que l’article 12, paragraphe 2, de la directive 2002/58 et l’article 133, paragraphe 1, de la loi relative aux communications électroniques exigent le « consentement des abonnés », au sens du RGPD, afin que les fournisseurs d’annuaires puissent traiter et transmettre leurs données personnelles.

33 La juridiction de renvoi estime que la directive 2002/58 constitue une lex specialis par rapport au RGPD, comme le confirmeraient le considérant 173 et l’article 95 du RGPD. Par conséquent, dans les situations dans lesquelles la directive 2002/58 précise les règles du RGPD, les dispositions spécifiques de cette directive prévalent, en tant que lex specialis, sur les dispositions plus générales du RGPD.

34 Dans ce contexte, la juridiction de renvoi observe que l’article 12, paragraphe 2, de la directive 2002/58 et l’article 133, paragraphe 1, de la loi relative aux communications électroniques, tout en exigeant une expression de volonté des abonnés afin que les fournisseurs d’annuaires puissent traiter leurs données à caractère personnel, ne précisent pas si cette expression de volonté doit se traduire dans l’exercice d’un droit d’option, comme le soutient Proximus, ou dans la manifestation d’un
véritable consentement, au sens du RGPD, comme l’indique l’APD. Sur ce point, la juridiction de renvoi souligne que la jurisprudence de la Cour, en particulier l’arrêt du 5 mai 2011, Deutsche Telekom (C‑543/09, EU:C:2011:279, point 61), a établi que, ainsi qu’il découle d’une interprétation contextuelle et systématique de l’article 12 de la directive 2002/58, l’expression de volonté en cause correspond à un « consentement » qui porte sur la finalité de la publication des données à caractère
personnel dans un annuaire public, et non sur l’identité d’un fournisseur d’annuaire en particulier.

35 En outre, étant donné qu’aucun régime spécifique n’a été élaboré concernant le retrait de cette expression de volonté ou de ce « consentement » par un abonné, ni dans la directive 2002/58, ni dans la loi relative aux communications électroniques, ni dans un arrêté d’exécution, la juridiction de renvoi se demande si toutes les dispositions du RGPD doivent s’appliquer automatiquement et sans restrictions également dans le contexte particulier des annuaires téléphoniques.

36 Dans ces conditions, le hof van beroep te Brussel (cour d’appel de Bruxelles) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Convient-il d’interpréter l’article 12, paragraphe 2, de la directive 2002/58/CE, lu en combinaison avec l’article 2, [sous] f), de cette directive et avec l’article 95 du [RGPD], en ce sens qu’il permet à une autorité de contrôle nationale d’exiger le “consentement” d’un abonné, au sens du [RGPD], pour la publication de ses données à caractère personnel dans les annuaires et services de renseignements téléphoniques accessibles au public, tant ceux de l’opérateur lui-même que ceux des
fournisseurs tiers, en l’absence de législation nationale contraire ?

2) Convient-il d’interpréter le droit à l’effacement prévu à l’article 17 du [RGPD] en ce sens qu’il s’oppose à ce que la demande de retrait des annuaires et services de renseignements téléphoniques accessibles au public formulée par un abonné soit qualifiée par une autorité de contrôle nationale de “demande d’effacement”, au sens de l’article 17 du [RGPD] ?

3) Convient-il d’interpréter l’article 24 et l’article 5, paragraphe 2, du [RGPD] en ce sens qu’ils s’opposent à ce qu’une autorité de contrôle nationale déduise de l’obligation de responsabilité qui y est inscrite que le responsable du traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers – à savoir le fournisseur de services téléphoniques et les autres fournisseurs d’annuaires et de services de renseignements
téléphoniques auxquels il a fourni des données de ce responsable du traitement – du retrait du consentement de la personne concernée, conformément à l’article 6, lu en combinaison avec l’article 7, du [RGPD] ?

4) Convient-il d’interpréter l’article 17, paragraphe 2, du [RGPD] en ce sens qu’il s’oppose à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public auquel il est demandé de ne plus publier les données d’une personne de prendre des mesures raisonnables afin d’informer les moteurs de recherche de cette demande d’effacement des données ? »

Sur les questions préjudicielles

Sur la première question

37 Proximus fait valoir que l’affaire en cause au principal ne concerne pas la publication, par un opérateur de services téléphoniques, d’annuaires contenant des données à caractère personnel de sorte que la première question préjudicielle devrait être considérée comme étant irrecevable en ce qu’elle porte sur un tel cas de figure.

38 Selon une jurisprudence constante, les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une demande de décision préjudicielle formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation
sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 48 et jurisprudence citée).

39 En l’occurrence, le litige en cause au principal oppose uniquement une personne physique à une société, qui n’est pas son opérateur de services téléphoniques, au sujet de la manière dont cette société a traité les données à caractère personnel de cette personne dans le cadre de la publication d’annuaires. Il s’ensuit que la première question est irrecevable dans la mesure où elle vise à interpréter les exigences qui découlent de l’article 12, paragraphe 2, de la directive 2002/58 pour le cas où
c’est l’opérateur de services téléphoniques de cette personne qui publie, lui-même, ses données à caractère personnel dans des annuaires.

40 Il découle de ce qui précède que, par sa première question, la juridiction de renvoi demande, en substance, si l’article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l’article 2, second alinéa, sous f), de cette directive et avec l’article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l’article 4, point 11, du RGPD, de l’abonné d’un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent
dans des annuaires publiés par des fournisseurs autres que cet opérateur.

41 Afin de répondre à cette question, il importe de rappeler que, aux termes de son article 1er, paragraphe 1, la directive 2002/58 prévoit, notamment, l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et des libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques.

42 À cet égard, il convient de rappeler qu’il ressort de l’article 12, paragraphe 1, de cette directive ainsi que du considérant 38 de celle-ci que les abonnés, avant d’être inscrits dans des annuaires publics, sont informés des fins pour lesquelles ceux-ci sont établis et de toute utilisation particulière qui peut en être faite, notamment grâce aux fonctions de recherche intégrées dans le logiciel des versions électroniques des annuaires.

43 Le considérant 39 de ladite directive précise ensuite, concernant l’obligation d’information préalable des abonnés au titre de l’article 12, paragraphe 1, de celle-ci, que, « [s]i [l]es données [à caractère personnel] peuvent être transmises à un ou plusieurs tiers, l’abonné devrait être informé de cette possibilité ainsi que des destinataires ou catégories de destinataires éventuels ».

44 Après avoir obtenu les informations visées à l’article 12, paragraphe 1, de la directive 2002/58, l’abonné peut, ainsi qu’il ressort du paragraphe 2 du même article, décider si les données à caractère personnel le concernant, et lesquelles de ces données, doivent figurer dans un annuaire public.

45 Ainsi que la Cour l’a déjà jugé, une telle information préalable permet à l’abonné concerné de donner un consentement à la publication, dans des annuaires publics, de données à caractère personnel le concernant, un tel consentement étant nécessaire aux fins d’une telle publication (voir, en ce sens, arrêt du 5 mai 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, points 54 et 58).

46 L’exigence d’obtenir le consentement de l’abonné concerné, aux fins de la publication de ces données dans des annuaires, est confirmée à l’article 12, paragraphe 3, de la directive 2002/58, aux termes duquel les États membres peuvent demander que « le consentement des abonnés soit également requis » pour toute finalité d’annuaire public autre que la simple recherche des coordonnées d’une personne sur la base de son nom.

47 Toutefois, ainsi que la Cour l’a précisé, il ressort d’une interprétation contextuelle et systématique de l’article 12 de la directive 2002/58 que le consentement au titre du paragraphe 2 de cet article porte sur la finalité de la publication des données à caractère personnel dans un annuaire public, et non sur l’identité d’un fournisseur d’annuaire en particulier. De ce fait, lorsque cet abonné a consenti à ce que ses données soient publiées dans un annuaire ayant une finalité particulière, il
n’aura généralement pas d’intérêt à s’opposer à la publication des mêmes données dans un autre annuaire similaire (arrêt du 5 mai 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, points 61 et 62).

48 À cet égard, le considérant 39 de cette directive confirme qu’une transmission de données à caractère personnel des abonnés à des tiers est permise « s’il est garanti que les données ne pourront pas être utilisées à des fins autres que celles pour lesquelles elles ont été collectées ».

49 Il s’ensuit que, dès lors qu’un abonné a été informé par un opérateur de services téléphoniques, tel que Telenet, de la possibilité de la transmission des données à caractère personnel le concernant à une entreprise tierce, telle que Proximus ou d’autres tiers, en vue de leur publication dans un annuaire public, et que cet abonné a consenti à la publication desdites données dans un tel annuaire, la transmission par cet opérateur ou par cette entreprise de ces mêmes données à une autre entreprise
visant à publier un annuaire public imprimé ou électronique, ou à rendre de tels annuaires consultables par l’intermédiaire de services de renseignements, ne doit pas faire de nouveau l’objet d’un consentement dudit abonné, s’il est garanti que les données en cause ne seront pas utilisées à des fins autres que celles pour lesquelles elles ont été collectées en vue de leur première publication. En effet, le consentement, au titre de l’article 12, paragraphe 2, de la directive 2002/58, d’un abonné
dûment informé, à la publication dans un annuaire public des données à caractère personnel le concernant, se rapporte à la finalité de cette publication et s’étend ainsi à tout traitement ultérieur desdites données par des entreprises tierces actives sur le marché des services de renseignements téléphoniques accessibles au public et d’annuaire, pour autant que de tels traitements poursuivent cette même finalité (arrêt du 5 mai 2011, Deutsche Telekom, C‑543/09, EU:C:2011:279, point 65).

50 En revanche, ainsi que l’énonce le considérant 39 de cette directive, si la partie qui a collecté ces données auprès de l’abonné ou un tiers quelconque auquel elles ont été transmises souhaitent les exploiter à d’autres fins, ladite partie ou ledit tiers devront obtenir une nouvelle fois le consentement de l’abonné.

51 S’agissant des modalités selon lesquelles un tel consentement doit être manifesté, il résulte de l’article 2, second alinéa, sous f), de la directive 2002/58, lu en combinaison avec l’article 94, paragraphe 2, et l’article 95 du RGPD, que ce consentement doit, en principe, satisfaire aux exigences résultant de l’article 4, point 11, de ce règlement.

52 En l’occurrence, l’article 4, point 11, du RGPD, qui constitue la disposition applicable aux faits en cause au principal, définit le « consentement de la personne concernée » en ce sens qu’il requiert une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’« un acte positif clair » marquant son acceptation du traitement des données à caractère personnel la concernant.

53 Il en découle qu’un tel consentement est nécessaire pour que les données à caractère personnel concernant l’abonné d’un opérateur de services téléphoniques puissent figurer dans des annuaires.

54 Par conséquent, la publication des données à caractère personnel concernant l’abonné en question dans des annuaires, tels que ceux édités par Proximus ou par d’autres fournisseurs, ne pourrait être considérée comme étant licite, au sens de l’article 6, paragraphe 1, sous a), du RGPD qu’en présence d’un tel consentement, ayant été expressément donné à l’opérateur de services téléphoniques ou à l’un de ces fournisseurs d’annuaires.

55 Cela étant, ainsi qu’il a été rappelé au point 49 du présent arrêt, un tel consentement ne suppose pas que, à la date à laquelle il est donné, la personne concernée connaisse nécessairement l’identité de tous les fournisseurs d’annuaires qui traiteront ses données personnelles.

56 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 12, paragraphe 2, de la directive 2002/58, lu en combinaison avec l’article 2, second alinéa, sous f), de cette directive et avec l’article 95 du RGPD, doit être interprété en ce sens que le « consentement », au sens de l’article 4, point 11, du RGPD, de l’abonné d’un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans des
annuaires publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l’un de ces fournisseurs.

Sur la deuxième question

57 Par sa deuxième question, la juridiction de renvoi demande, en substance, si l’article 17 du RGPD doit être interprété en ce sens que la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l’effacement », au sens de cet article.

58 Il convient, tout d’abord, de relever que Proximus fait valoir que l’article 17 du RGPD n’est pas applicable à un fournisseur d’annuaires qui, comme en l’occurrence, n’est pas l’opérateur de services téléphoniques de l’abonné et qu’une demande, telle que celle mentionnée au point précédent du présent arrêt, devrait, tout au plus, être considérée comme constituant une demande de rectification, au sens de l’article 16 de ce règlement, de sorte que la deuxième question préjudicielle serait
irrecevable en ce qu’elle serait dénuée de pertinence pour l’affaire en cause au principal.

59 Toutefois, les arguments ainsi mis en avant par cette partie ont trait, en substance, au champ d’application ainsi qu’à la portée et, partant, à l’interprétation des dispositions du droit de l’Union sur lesquelles porte la deuxième question. Or, de tels arguments, qui concernent le fond de la question posée, ne sauraient ainsi, par essence même, conduire à une irrecevabilité de celle-ci (arrêt du 13 janvier 2022, Minister Sprawiedliwości, C‑55/20, EU:C:2022:6, point 83).

60 Il s’ensuit que la deuxième question préjudicielle est recevable.

61 En premier lieu, il importe de souligner que, en vertu de l’article 12, paragraphe 2, deuxième phrase, de la directive 2002/58, les abonnés doivent avoir, notamment, la possibilité de faire supprimer des annuaires publics les données à caractère personnel les concernant.

62 Cela étant, l’octroi d’une telle possibilité pour les abonnés ne constitue pas, dans le chef des fournisseurs d’annuaires, une obligation spécifique, au sens de l’article 95 du RGPD, qui permettrait d’exclure l’application des dispositions pertinentes de ce règlement. En effet, ainsi que l’a relevé en substance M. l’avocat général au point 54 de ses conclusions, la directive 2002/58 ne contient pas d’indications sur les modalités, la mise en œuvre et les conséquences des demandes visant à obtenir
la suppression des données à caractère personnel. De ce fait, ainsi qu’il ressort, par ailleurs, du considérant 10 de cette directive, lu en combinaison avec l’article 94 de ce règlement, les dispositions du RGPD sont susceptibles d’être appliquées dans un tel cas de figure.

63 En second lieu, il découle de l’article 17, paragraphe 1, sous b) et d), du RGPD que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant et que le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais notamment lorsque la personne concernée « retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), [...] et [qu’]il n’existe pas
d’autre fondement juridique au traitement » ou encore lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite ».

64 À cet égard, d’une part, il découle de la réponse apportée à la première question préjudicielle que la publication des données à caractère personnel d’un abonné dans des annuaires repose sur le consentement de cet abonné.

65 D’autre part, il ressort de l’article 6, paragraphe 1, sous a), et de l’article 7, paragraphe 3, du RGPD qu’un tel consentement constitue l’une des conditions nécessaires permettant de conclure à la licéité du traitement des données à caractère personnel de l’abonné concerné et que ce consentement peut être retiré à tout moment et selon des modalités qui sont aussi simples que celles ayant permis à la personne concernée de donner un tel consentement.

66 En l’occurrence, lorsque l’abonné demande que ses données ne figurent plus dans un annuaire, il retire son consentement à la publication de ces données. Sur la base du retrait de son consentement, il obtient, en l’absence d’autre fondement juridique à un tel traitement, le droit de demander l’effacement de ses données à caractère personnel de cet annuaire, en vertu de l’article 17, paragraphe 1, sous b), du RGPD ou, dans le cas où le responsable du traitement continue à publier lesdites données
de manière illicite, en vertu de l’article 17, paragraphe 1, sous d), de ce règlement.

67 Dans ses conditions, il y a lieu de considérer que la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires peut être considérée comme un recours au « droit à l’effacement » desdites données, au sens de l’article 17 du RGPD.

68 Cette conclusion ne saurait être remise en cause par l’argument soulevé par Proximus selon lequel une telle demande devrait être considérée comme tendant à permettre à cet abonné d’exercer son droit d’obtenir du responsable du traitement la rectification des données à caractère personnel le concernant, au titre de l’article 16 du RGPD. En effet, aux termes de cette disposition, une telle rectification est possible lorsque ces données sont inexactes et vise à permettre à la personne concernée
d’obtenir que celles-ci soient complétées.

69 Or, en l’occurrence, une demande de suppression des données d’un abonné figurant dans un annuaire ne tend pas à remplacer des données inexactes par des données correctes ou à compléter des données incomplètes, mais tend à supprimer la publication de données correctes.

70 Le fait qu’une telle suppression se traduise, en l’espèce, par la simple modification du code attribué à l’abonné concerné dans la base de données de Proximus à partir de laquelle les données personnelles de cet abonné sont publiées dans les annuaires ne saurait empêcher qu’une demande de suppression des données personnelles figurant dans ces annuaires soit considérée comme étant une « demande d’effacement », au sens de l’article 17 du RGPD. En effet, ainsi qu’il ressort du dossier dont dispose
la Cour, la modalité de suppression prévue par ledit opérateur constitue une mesure de nature purement technique ou organisationnelle qui s’avère nécessaire pour donner suite à la demande d’effacement des données à caractère personnel de la personne concernée et pour empêcher la divulgation de ces données.

71 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la deuxième question que l’article 17 du RGPD doit être interprété en ce sens que la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires constitue un recours au « droit à l’effacement », au sens de cet article.

Sur la troisième question

72 Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 2, et l’article 24 du RGPD doivent être interprétés en ce sens qu’une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données personnelles de son
abonné ainsi que les autres fournisseurs d’annuaires auxquels il a, lui-même, fourni de telles données, du retrait du consentement de cet abonné.

73 À titre liminaire, il importe de relever que, en l’occurrence, Proximus a traité des données personnelles du plaignant, en les publiant et en les communiquant à d’autres fournisseurs d’annuaires. Telenet, son opérateur de services téléphoniques, a également traité ces données, notamment en les transmettant à Proximus. Il en va de même des autres fournisseurs d’annuaires, auxquels Proximus a transmis les coordonnées du plaignant et qui les ont publiées.

74 En outre, il importe de relever, d’une part, que, ainsi qu’il a été rappelé au point 20 du présent arrêt, si la loi relative aux communications électroniques impose aux opérateurs de services téléphoniques de transmettre les données relatives à leurs abonnés aux fournisseurs d’annuaires publics, ces opérateurs doivent, toutefois, isoler les données relatives aux abonnés qui ont demandé à ne pas figurer dans un annuaire, de manière à ce que ces abonnés puissent recevoir une copie de cet annuaire
sans que leurs données y figurent.

75 Il ressort du dossier dont dispose la Cour que, en pratique, c’est généralement auprès de son opérateur de services téléphoniques que l’abonné consent à ce que ses données à caractère personnel soient publiées dans un annuaire, un tel consentement permettant que ces données soient transférées à un tiers, fournisseur d’annuaires. Ce fournisseur peut, à son tour, communiquer de telles données à d’autres fournisseurs d’annuaires, sur le fondement du même consentement, ces responsables de traitement
constituant ainsi une chaîne, chacun traitant successivement lesdites données, de manière indépendante, sur la base d’un seul et même consentement.

76 D’autre part, il ressort également du dossier dont dispose la Cour que l’actualisation de la base de données de Proximus visant à faire droit au retrait du consentement du plaignant a été effacée dès que son opérateur de services téléphoniques a transmis à Proximus une nouvelle liste de données relatives à ses abonnés, aux fins de leur publication dans les annuaires, qui ne tenait pas compte du retrait du consentement du plaignant auprès de Proximus.

77 Dans ce contexte, se pose ainsi la question de savoir si un fournisseur d’annuaires, tel que Proximus, lorsqu’un abonné d’un opérateur de services téléphoniques retire son consentement à figurer dans les annuaires de ce fournisseur, doit non seulement mettre à jour sa propre base de données pour tenir compte de ce retrait, mais doit également informer dudit retrait l’opérateur de services téléphoniques qui lui a communiqué ces données ainsi que les autres fournisseurs d’annuaires auxquels il a,
lui-même, transmis de telles données.

78 En premier lieu, il convient de rappeler que l’article 6, paragraphe 1, sous a), du RGPD prévoit qu’un traitement est licite si, et dans la mesure où, la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. Or, il ressort de la décision de renvoi que le plaignant a retiré son consentement, au sens de l’article 7, paragraphe 3, de ce règlement, au traitement de ses données à caractère personnel aux fins de leur publication
dans des annuaires. À la suite d’un tel retrait, le traitement de ces données aux fins de leur inscription dans les annuaires publics, y compris celui qui est effectué pour la même finalité par les opérateurs de services téléphoniques ou par d’autres fournisseurs d’annuaires qui se fondent sur le même consentement, n’a plus de fondement juridique et est ainsi illicite eu égard à l’article 6, paragraphe 1, sous a), dudit règlement.

79 En second lieu, il importe de rappeler que, conformément à l’article 5, paragraphe 1, sous a), et paragraphe 2, du RGPD, le responsable du traitement doit s’assurer qu’il est en mesure de démontrer que les données à caractère personnel sont traitées de manière licite, loyale et transparente au regard de la personne concernée.

80 S’agissant de l’article 24 du RGPD, celui-ci exige que, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, le responsable du traitement mette en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à ce règlement.

81 Ainsi que l’a relevé M. l’avocat général au point 67 de ses conclusions, l’article 5, paragraphe 2, et l’article 24 du RGPD imposent des obligations générales de responsabilité et de conformité aux responsables du traitement de données à caractère personnel. En particulier, ces dispositions exigent des responsables du traitement qu’ils adoptent les mesures appropriées visant à prévenir les violations éventuelles des règles prévues par le RGPD pour assurer le droit à la protection des données.

82 Dans cette perspective, l’article 19 du RGPD prévoit, notamment, que le responsable du traitement notifie à chaque destinataire auquel des données à caractère personnel ont été communiquées tout effacement de données à caractère personnel effectué conformément à l’article 17, paragraphe 1, de ce règlement, à moins qu’une telle communication ne se révèle impossible ou exige des efforts disproportionnés.

83 Or, il découle des obligations générales prévues à l’article 5, paragraphe 2, et à l’article 24 du RGPD, lues en combinaison avec l’article 19 de celui-ci, qu’un responsable du traitement de données personnelles, comme Proximus, doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour informer les autres fournisseurs d’annuaires auxquels il a fourni de telles données du retrait du consentement de la personne concernée qui lui a été adressé. Dans les circonstances telles
que celles précisées au point 76 du présent arrêt, un tel responsable du traitement doit également veiller à informer l’opérateur de services téléphoniques qui lui a communiqué ces données à caractère personnel afin que ce dernier adapte la liste des données personnelles qu’il transmet automatiquement à ce fournisseur d’annuaires et isole les données de ses abonnés qui ont manifesté leur volonté de retirer leur consentement à ce que ces données soient rendues publiques.

84 En effet, lorsque, comme en l’occurrence, différents responsables du traitement se fondent sur le consentement unique de la personne concernée pour traiter les données à caractère personnel de celle-ci dans une même finalité, il suffit, afin que cette personne retire un tel consentement, qu’elle s’adresse à l’un quelconque des responsables du traitement qui se fondent sur ce même consentement aux fins du retrait demandé.

85 Ainsi que le relève à juste titre la Commission, afin de garantir l’effectivité du droit de retirer son consentement prévu à l’article 7, paragraphe 3, du RGPD et d’assurer que le consentement de la personne concernée soit strictement lié à la finalité pour laquelle il a été donné, le responsable du traitement, auprès duquel la personne concernée a retiré son consentement au traitement de ses données à caractère personnel, est effectivement tenu d’informer de ce retrait toute personne qui lui a
transmis ces données ainsi que la personne à qui il a, à son tour, transmis lesdites données. Les responsables du traitement ainsi informés ont ensuite, à leur tour, l’obligation de transmettre ces informations aux autres responsables du traitement auxquels ils ont communiqué de telles données.

86 À cet égard, il importe, tout d’abord, de relever qu’une telle obligation d’information vise à prévenir toute violation éventuelle des règles prévues par le RGPD pour assurer le droit à la protection des données et s’inscrit ainsi dans le cadre des mesures appropriées, au sens de l’article 24 de ce règlement. En outre, ainsi que M. l’avocat général l’a souligné au point 68 de ses conclusions, elle s’inscrit également dans le cadre de l’exigence prévue à l’article 12, paragraphe 2, de ce
règlement, en vertu duquel le responsable du traitement est tenu de faciliter l’exercice des droits conférés à la personne concernée notamment par l’article 17 dudit règlement.

87 Ensuite, il y a lieu de constater que l’absence d’une telle obligation d’information pour le responsable du traitement sur le retrait du consentement de la personne concernée pourrait rendre le retrait du consentement particulièrement difficile, dès lors que cette personne pourrait se croire tenue de s’adresser à chacun des opérateurs. Une telle approche serait ainsi contraire à l’article 7, paragraphe 3, du RGPD, selon lequel il doit être aussi simple de retirer que de donner son consentement au
traitement de données à caractère personnel.

88 Enfin, conformément à la jurisprudence rappelée au point 49 du présent arrêt, le consentement, au titre de l’article 12, paragraphe 2, de la directive 2002/58, d’un abonné dûment informé, à la publication dans un annuaire public des données à caractère personnel le concernant se rapporte à la finalité de cette publication et s’étend ainsi à tout traitement ultérieur desdites données par des entreprises tierces actives sur le marché des annuaires, pour autant que de tels traitements poursuivent
cette même finalité.

89 Il s’ensuit que, ainsi que l’a relevé M. l’avocat général au point 68 de ses conclusions, puisqu’un fournisseur d’annuaires peut se prévaloir du consentement au traitement de données qu’un abonné a accordé pour cette finalité à un autre fournisseur ou à son opérateur de services téléphoniques, l’abonné doit pouvoir, afin de retirer son consentement, s’adresser à l’un quelconque des fournisseurs d’annuaires ou à cet opérateur afin d’obtenir le retrait de ses coordonnées des annuaires publiés par
l’ensemble de ceux qui se sont fondés sur l’expression unique de son consentement.

90 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la troisième question que l’article 5, paragraphe 2, et l’article 24 du RGPD doivent être interprétés en ce sens qu’une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à
caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires auxquels il a fourni de telles données, du retrait du consentement de cet abonné.

Sur la quatrième question

91 Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 17, paragraphe 2, du RGPD doit être interprété en ce sens qu’il s’oppose à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les fournisseurs de moteurs de
recherche de cette demande d’effacement des données.

92 Afin de répondre à cette question, il importe de rappeler que l’article 17, paragraphe 2, du RGPD impose au responsable du traitement qui a rendu publiques les données à caractère personnel, compte tenu des technologies disponibles et des coûts de mise en œuvre, de prendre des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du
traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

93 Ainsi qu’il ressort du considérant 66 du RGPD, l’objectif de cette obligation est le renforcement du droit à l’oubli dans l’environnement en ligne et de ce fait vise, de manière particulière, les informations mises à la disposition sur Internet par les fournisseurs de moteurs de recherche qui traitent des données publiées en ligne.

94 En l’occurrence, il est constant que Proximus a publié, dans son annuaire, les données à caractère personnel du plaignant et, partant, que cette société doit être considérée comme un responsable du traitement ayant rendu publiques de telles données, au sens de l’article 17, paragraphe 2, du RGPD.

95 En outre, il y a lieu de rappeler, d’une part, que, conformément à une jurisprudence constante, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement » de données à caractère personnel, au sens de l’article 4, point 2, du RGPD, lorsque
ces informations contiennent des données à caractère personnel et, d’autre part, que l’exploitant de ce moteur de recherche doit être considéré comme le « responsable » dudit traitement, au sens de l’article 4, point 7, de ce règlement et, partant, également de son article 17, paragraphe 2, de celui-ci [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 35 ainsi que jurisprudence citée].

96 Partant, dans des circonstances telles que celles en cause au principal, il y a lieu de considérer qu’un responsable du traitement tel que Proximus est tenu, en vertu de l’article 17, paragraphe 2, du RGPD, de veiller à prendre des mesures raisonnables afin d’informer les fournisseurs de moteurs de recherche de la demande qui lui a été adressée par l’abonné d’un opérateur de services téléphoniques et visant à l’effacement de ses données personnelles. Cela étant, ainsi que l’a relevé M. l’avocat
général au point 76 de ses conclusions, afin d’apprécier le caractère raisonnable des mesures prises par le fournisseur d’annuaires, l’article 17, paragraphe 2, du RGPD prévoit que la technologie disponible et les coûts de mise en œuvre doivent être pris en compte, cette appréciation incombant principalement à l’autorité compétente en la matière et pouvant faire l’objet d’un contrôle juridictionnel.

97 En l’occurrence, il résulte des observations écrites déposées par l’APD, qui n’ont pas été contestées sur ce point par les autres parties à la présente procédure, que, au cours du deuxième trimestre de l’année 2020, le nombre de fournisseurs de moteurs de recherche opérant en Belgique était limité. En particulier, Google détenait une part de marché comprise entre 90 %, s’agissant des recherches effectuées sur les ordinateurs de bureau, et 99 %, s’agissant des recherches effectuées sur les
smartphones et les tablettes.

98 En outre, ainsi qu’il a été indiqué au point 26 du présent arrêt, il ressort du dossier dont dispose la Cour que, à la suite de la demande de l’abonné de ne pas faire figurer ses données dans les annuaires de ce fournisseur, Proximus a répondu qu’il avait non seulement supprimé ces données des annuaires téléphoniques ainsi que des services de renseignements téléphoniques, mais également contacté Google pour que les liens pertinents vers le site Internet de Proximus soient supprimés.

99 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la quatrième question que l’article 17, paragraphe 2, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les
fournisseurs de moteurs de recherche de cette demande d’effacement des données.

Sur les dépens

100 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

  Par ces motifs, la Cour (quatrième chambre) dit pour droit :

  1) L’article 12, paragraphe 2, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, lu en combinaison avec l’article 2, second alinéa, sous f), de cette directive et avec l’article 95 du règlement (UE) 2016/679 du
Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le « consentement », au sens de l’article 4, point 11, de ce règlement, de l’abonné d’un opérateur de services téléphoniques est exigé afin que les données à caractère personnel de cet abonné figurent dans les annuaires et les services de renseignements téléphoniques accessibles au public, publiés par des fournisseurs autres que cet opérateur, ce consentement pouvant être fourni soit audit opérateur soit à l’un de ces fournisseurs.

  2) L’article 17 du règlement 2016/679

doit être interprété en ce sens que :

la demande d’un abonné tendant à la suppression de ses données à caractère personnel des annuaires ainsi que des services de renseignements téléphoniques accessibles au public constitue un recours au « droit à l’effacement », au sens de cet article.

  3) L’article 5, paragraphe 2, et l’article 24 du règlement 2016/679

doivent être interprétés en ce sens que :

une autorité de contrôle nationale peut exiger que le fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, en tant que responsable du traitement, prenne les mesures techniques et organisationnelles appropriées pour informer les responsables du traitement tiers, à savoir l’opérateur de services téléphoniques qui lui a communiqué les données à caractère personnel de son abonné ainsi que les autres fournisseurs d’annuaires et de services de renseignements
téléphoniques accessibles au public auxquels il a fourni de telles données, du retrait du consentement de cet abonné.

  4) L’article 17, paragraphe 2, du règlement 2016/679

doit être interprété en ce sens que :

il ne s’oppose pas à ce qu’une autorité de contrôle nationale ordonne à un fournisseur d’annuaires et de services de renseignements téléphoniques accessibles au public, auquel l’abonné d’un opérateur de services téléphoniques a demandé de ne plus publier les données à caractère personnel le concernant, de prendre des « mesures raisonnables », au sens de cette disposition, afin d’informer les fournisseurs de moteurs de recherche de cette demande d’effacement des données.

  Signatures

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( *1 ) Langue de procédure : le néerlandais.


Synthèse
Formation : Quatrième chambre
Numéro d'arrêt : C-129/21
Date de la décision : 27/10/2022
Type de recours : Recours préjudiciel

Analyses

Demande de décision préjudicielle, introduite par le Hof van beroep te Brussel.

Renvoi préjudiciel – Traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques – Directive 2002/58/CE – Article 12 – Annuaires publics et services de renseignements téléphoniques – Consentement de l’abonné – Obligations du fournisseur des annuaires et des services de renseignement – Règlement (UE) 2016/679 – Article 17 – Droit à l’effacement (“droit à l’oubli”) – Article 5, paragraphe 2 – Article 24 – Obligations d’information et responsabilité du responsable du traitement.

Rapprochement des législations

Principes, objectifs et mission des traités

Télécommunications

Protection des données


Parties
Demandeurs : Proximus NV
Défendeurs : Gegevensbeschermingsautoriteit.

Composition du Tribunal
Avocat général : Collins
Rapporteur ?: Rossi

Origine de la décision
Date de l'import : 30/06/2023
Fonds documentaire ?: http: publications.europa.eu
Identifiant ECLI : ECLI:EU:C:2022:833

Source

Voir la source

Association des cours judiciaires suprmes francophones
Organisation internationale de la francophonie
Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie. Juricaf est un projet de l'AHJUCAF, l'association des Cours suprêmes judiciaires francophones. Il est soutenu par l'Organisation Internationale de la Francophonie.
Logo iall 2012 website award