ARRÊT DE LA COUR (cinquième chambre)
16 novembre 2023 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive (UE) 2016/680 – Article 17 – Exercice des droits de la personne concernée par l’intermédiaire de l’autorité de contrôle – Vérification de la licéité du traitement des données – Article 17, paragraphe 3 – Obligation minimale d’information de la personne concernée – Portée – Validité – Article 53 – Droit de former un recours juridictionnel effectif contre l’autorité de
contrôle – Notion de “décision juridiquement contraignante” – Charte des droits fondamentaux de l’Union européenne – Article 8, paragraphe 3 – Contrôle d’une autorité indépendante – Article 47 – Droit à une protection juridictionnelle effective »
Dans l’affaire C‑333/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la cour d’appel de Bruxelles (Belgique), par décision du 9 mai 2022, parvenue à la Cour le 20 mai 2022, dans la procédure
Ligue des droits humains ASBL,
BA
contre
Organe de contrôle de l’information policière,
LA COUR (cinquième chambre),
composée de M. E. Regan, président de chambre, MM. Z. Csehi, M. Ilešič, I. Jarukaitis et D. Gratsias (rapporteur), juges,
avocat général : Mme L. Medina,
greffier : Mme M. Siekierzyńska, administratrice,
vu la procédure écrite et à la suite de l’audience du 29 mars 2023,
considérant les observations présentées :
– pour Ligue des droits humains ASBL et BA, par Me C. Forget, avocate,
– pour l’Organe de contrôle de l’information policière (OCIP), par Mes J. Bosquet et J.-F. De Bock, advocaten,
– pour le gouvernement belge, par MM. P. Cottin, J.-C. Halleux, Mmes C. Pochet et A. Van Baelen, en qualité d’agents, assistés de Mes N. Cariat, C. Fischer, B. Lombaert et J. Simba, avocats,
– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement français, par M. J. Illouz, en qualité d’agent,
– pour le Parlement européen, par M. S. Alonso de León, Mmes O. Hrstková Šolcová, P. López-Carceller et M. Thibault, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg, Mme A.-C. Simon et M. F. Wilman, en qualité d’agents,
ayant entendu l’avocate générale en ses conclusions à l’audience du 15 juin 2023,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte, d’une part, sur l’interprétation de l’article 8, paragraphe 3, et de l’article 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») et, d’autre part, sur la validité, au regard des dispositions susvisées de la Charte, de l’article 17 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère
personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).
2 Cette demande a été présentée dans le cadre d’un litige opposant Ligue des droits humains ASBL et BA à l’Organe de contrôle de l’information policière (OCIP) (Belgique) au sujet de l’exercice, par l’intermédiaire de cet organe, des droits de BA relatifs aux données à caractère personnel le concernant, traitées par les services de police belges et sur la base desquelles l’Autorité nationale de sécurité (Belgique) a rejeté une demande d’habilitation de sécurité présentée par cette personne.
Le cadre juridique
Le droit de l’Union
3 Les considérants 7, 10, 43, 46, 48, 75, 82, 85 et 86 de la directive 2016/680 énoncent :
« (7) Il est crucial d’assurer un niveau élevé et homogène de protection des données à caractère personnel des personnes physiques et de faciliter l’échange de données à caractère personnel entre les autorités compétentes des États membres, afin de garantir l’efficacité de la coopération judiciaire en matière pénale et de la coopération policière. À cette fin, le niveau de protection des droits et libertés des personnes physiques à l’égard du traitement des données à caractère personnel par les
autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, devrait être équivalent dans tous les États membres. Une protection effective des données à caractère personnel dans l’ensemble de l’Union [européenne] exige non seulement de renforcer les droits des personnes concernées et
les obligations de ceux qui traitent les données à caractère personnel, mais aussi de renforcer les pouvoirs équivalents de suivi et de contrôle du respect des règles relatives à la protection des données à caractère personnel dans les États membres.
[...]
(10) Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière
pénale et de la coopération policière se basant sur l’article 16 [TFUE] pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.
[...]
(43) Une personne physique devrait avoir le droit d’accéder aux données qui ont été collectées la concernant et d’exercer ce droit facilement, à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...]
[...]
(46) Toute limitation des droits de la personne concernée doit respecter la Charte et la [convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950], telles qu’elles sont interprétées respectivement par la Cour de justice et par la Cour européenne des droits de l’homme dans leur jurisprudence, et notamment respecter l’essence desdits droits et libertés.
[...]
(48) Lorsque le responsable du traitement refuse à une personne concernée le droit à l’information, le droit d’accès aux données à caractère personnel, de rectification ou d’effacement de celles-ci ou le droit de limitation du traitement, la personne concernée devrait avoir le droit de demander à l’autorité de contrôle nationale de vérifier la licéité du traitement. [...]
[...]
(75) L’institution d’autorités de contrôle dans les États membres, qui sont en mesure d’exercer leurs fonctions en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Il y a lieu que les autorités de contrôle surveillent l’application des dispositions adoptées en vertu de la présente directive et contribuent à ce que son application soit cohérente dans l’ensemble de l’Union, afin de protéger les personnes
physiques à l’égard du traitement de leurs données à caractère personnel. [...]
[...]
(82) Afin d’assurer l’efficacité, la fiabilité et la cohérence du contrôle du respect et de l’application de la présente directive dans l’ensemble de l’Union conformément au traité [FUE] tel qu’il est interprété par la Cour de justice, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, dont celui d’enquêter, d’adopter des mesures correctrices et d’émettre des avis consultatifs, qui constituent les moyens nécessaires à
l’accomplissement de leurs missions. [...]
[...]
(85) Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une autorité de contrôle unique et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte lorsqu’elle estime qu’il y a violation des droits que lui confèrent les dispositions adoptées en vertu de la présente directive, ou si l’autorité de contrôle ne donne pas [suite à] sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une
action est nécessaire pour protéger les droits de la personne concernée. [...]
(86) Toute personne physique ou morale devrait disposer du droit à un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, du pouvoir d’adopter des mesures correctrices et du pouvoir d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit ne couvre pas
d’autres mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par l’autorité de contrôle. Les actions contre une autorité de contrôle devraient être intentées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit de l’État membre en question. Ces juridictions devraient disposer d’une pleine compétence, et notamment de celle
d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies. »
4 L’article 1er de cette directive, intitulé « Objet et objectifs », dispose, à ses paragraphes 1 et 2 :
« 1. La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.
2. Conformément à la présente directive, les États membres :
a) protègent les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ; et
b) veillent à ce que l’échange de données à caractère personnel par les autorités compétentes au sein de l’Union, lorsque cet échange est requis par le droit de l’Union ou le droit d’un État membre, ne soit ni limité ni interdit pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »
5 Ladite directive contient un chapitre III, intitulé « Droits de la personne concernée », lequel comprend, notamment les articles 13 à 17 de celle‑ci. Cet article 13, intitulé « Informations à mettre à la disposition de la personne concernée ou à lui fournir », énonce, à son paragraphe 1, l’obligation, pour les États membres, de prévoir que le responsable du traitement met à la disposition de la personne concernée certaines informations minimales, telles que, notamment, l’identité et les
coordonnées du responsable du traitement. En outre, il énumère, à son paragraphe 2, les informations additionnelles que les États membres doivent imposer, par la loi, au responsable du traitement de fournir à la personne concernée, afin de lui permettre d’exercer ses droits. À ses paragraphes 3 et 4, il énonce :
« 3. Les États membres peuvent adopter des mesures législatives visant à retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou à ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et les libertés d’autrui.
4. Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements susceptibles de relever, dans leur intégralité ou en partie, d’un quelconque des points énumérés au paragraphe 3. »
6 L’article 14 de la même directive, intitulé « Droit d’accès par la personne concernée », est ainsi libellé :
« Sous réserve de l’article 15, les États membres prévoient que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données [...] »
7 Aux termes de l’article 15 de la directive 2016/680, intitulé « Limitations du droit d’accès » :
« 1. Les États membres peuvent adopter des mesures législatives limitant, entièrement ou partiellement, le droit d’accès de la personne concernée, dès lors et aussi longtemps qu’une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et libertés d’autrui.
2. Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements de données susceptibles de relever, dans leur intégralité ou en partie, des points a) à e) du paragraphe 1.
3. Dans les cas visés aux paragraphes 1 et 2, les États membres prévoient que le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au paragraphe 1. Les États membres prévoient que le responsable du traitement informe la personne
concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.
4. Les États membres prévoient que le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition des autorités de contrôle. »
8 L’article 16 de cette directive, intitulé « Droit de rectification ou d’effacement des données à caractère personnel et limitation du traitement », dispose :
1. Les États membres prévoient le droit pour la personne concernée d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, les États membres prévoient que la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, [...]
2. Les États membres exigent que le responsable du traitement efface dans les meilleurs délais les données à caractère personnel et accordent à la personne concernée le droit d’obtenir du responsable du traitement l’effacement dans les meilleurs délais de données à caractère personnel la concernant lorsque le traitement constitue une violation des dispositions adoptées en vertu de l’article 4, 8 ou 10 ou lorsque les données à caractère personnel doivent être effacées pour respecter une
obligation légale à laquelle est soumis le responsable du traitement.
3. Au lieu de procéder à l’effacement, le responsable du traitement limite le traitement lorsque :
a) l’exactitude des données à caractère personnel est contestée par la personne concernée et qu’il ne peut être déterminé si les données sont exactes ou non ; ou
b) les données à caractère personnel doivent être conservées à des fins probatoires.
[...]
4. Les États membres prévoient que le responsable du traitement informe la personne concernée par écrit de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Les États membres peuvent adopter des mesures législatives limitant, en tout ou partie, l’obligation de fournir ces informations, dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment
compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et libertés d’autrui.
Les États membres prévoient que le responsable du traitement informe la personne concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.
[...] »
9 L’article 17 de ladite directive, intitulé « Exercice des droits de la personne concernée et vérification par l’autorité de contrôle », prévoit :
« 1. Dans les cas visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, les États membres adoptent des mesures afin que les droits de la personne concernée puissent également être exercés par l’intermédiaire de l’autorité de contrôle compétente.
2. Les États membres prévoient que le responsable du traitement informe la personne concernée de la possibilité qu’elle a d’exercer ses droits par l’intermédiaire de l’autorité de contrôle en application du paragraphe 1.
3. Lorsque le droit visé au paragraphe 1 est exercé, l’autorité de contrôle informe au moins la personne concernée du fait qu’elle a procédé à toutes les vérifications nécessaires ou à un examen. L’autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel. »
10 L’article 42 de la même directive, intitulé « Indépendance », énonce, à son paragraphe 1 :
« Chaque État membre prévoit que chaque autorité de contrôle agit en toute indépendance dans l’exercice de ses missions et des pouvoirs dont elle est investie conformément à la présente directive. »
11 L’article 46 de la directive 2016/680, intitulé « Missions », dispose, à son paragraphe 1 :
« Chaque État membre prévoit que, sur son territoire, chaque autorité de contrôle :
a) contrôle l’application des dispositions adoptées en application de la présente directive et de ses mesures d’exécution et veille au respect de celles-ci ;
[...]
f) traite les réclamations introduites par une personne concernée [...], enquête sur l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, [...]
g) vérifie la licéité du traitement en vertu de l’article 17, et informe la personne concernée dans un délai raisonnable de l’issue de la vérification, conformément au paragraphe 3 dudit article, ou des motifs ayant empêché sa réalisation ;
[...] »
12 Aux termes de l’article 47 de cette directive, intitulé « Pouvoirs » :
« 1. Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs d’enquête effectifs. Ces pouvoirs comprennent au moins celui d’obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées et à toutes les informations nécessaires à l’exercice de ses missions.
2. Chaque État membre prévoit, par la loi, que chaque autorité de contrôle dispose de pouvoirs effectifs en matière d’adoption de mesures correctrices, tels que, par exemple :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions adoptées en vertu de la présente directive ;
b) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions adoptées en vertu de la présente directive, le cas échéant, de manière spécifique et dans un délai déterminé, en particulier en ordonnant la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application de l’article 16 ;
c) limiter temporairement ou définitivement, y compris interdire, un traitement.
[...]
4. L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit de l’État membre conformément à la Charte.
[...] »
13 L’article 52 de ladite directive, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, les États membres prévoient que toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle unique, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation des dispositions adoptées en vertu de la présente directive. »
14 L’article 53 de la même directive, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou extrajudiciaire, les États membres prévoient qu’une personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »
15 L’article 54 de la directive 2016/680, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous‑traitant », est ainsi libellé :
« Les États membres prévoient que, sans préjudice de tout recours administratif ou extrajudiciaire qui leur est ouvert, notamment le droit d’introduire une réclamation auprès d’une autorité de contrôle en vertu de l’article 52, une personne concernée a droit à un recours juridictionnel effectif lorsqu’elle considère que ses droits prévus dans les dispositions adoptées en vertu de la présente directive ont été violés du fait d’un traitement de ses données à caractère personnel effectué en
violation desdites dispositions. »
Le droit belge
16 La loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, du 30 juillet 2018 (Moniteur belge du 5 septembre 2018, p. 68616, ci-après la « LPD »), transpose, à son titre 2, la directive 2016/680. Les droits énoncés aux articles 13 à 16 de cette directive sont prévus au chapitre III dudit titre, plus précisément aux articles 37 à 39 de ladite loi.
17 L’article 42 de la LPD dispose :
« La demande d’exercer les droits visés au présent chapitre à l’égard des services de police [...] ou de l’inspection générale de la police fédérale et de la police locale, est adressée à l’autorité de contrôle visée à l’article 71.
Dans les cas visés aux articles 37, § 2, 38, § 2 [et] 39, § 4 [...], l’autorité de contrôle visée à l’article 71 informe uniquement la personne concernée qu’il a été procédé aux vérifications nécessaires.
Nonobstant l’alinéa 2, l’autorité de contrôle visée à l’article 71 peut communiquer à la personne concernée certaines informations contextuelles.
Le Roi détermine, après avis de l’autorité de contrôle visée à l’article 71, les catégories d’informations contextuelles qui peuvent être communiquées à la personne concernée par cette autorité de contrôle. »
18 Selon la cour d’appel de Bruxelles (Belgique), la juridiction de renvoi, aucun arrêté royal n’a été adopté en vue de mettre en œuvre l’article 42, quatrième alinéa, de la LPD.
19 Aux termes de l’article 71, paragraphe 1, de la LPD :
« Il est créé auprès de la Chambre des représentants une autorité de contrôle indépendante de l’information policière, dénommée Organe de contrôle de l’information policière.
[...]
Elle est [...] chargée de :
1° surveiller l’application du présent titre [...]
2° contrôler le traitement des informations et des données à caractère personnel visées aux articles 44/1 à 44/11/13 de la loi du 5 août 1992 sur la fonction de police y compris celles incluses dans les banques de données visées à l’article 44/2 de la même loi ;
3° toute autre mission organisée par ou en vertu d’autres lois. »
20 Le chapitre Ier du titre 5 de la LPD est intitulé « Action en cessation ». L’article 209, qui figure à ce chapitre, est ainsi libellé :
« Sans préjudice de tout autre recours juridictionnel, administratif ou extrajudiciaire, le président du tribunal de première instance, siégeant comme en référé, constate l’existence d’un traitement constituant une violation aux dispositions légales ou réglementaires concernant la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel et en ordonne la cessation.
Le président du tribunal de première instance, siégeant comme en référé, connaît de toute demande relative au droit accordé par ou en vertu de la loi, d’obtenir communication de données à caractère personnel, et de toute demande tendant à faire rectifier, supprimer ou interdire d’utiliser toute donnée à caractère personnel inexacte ou, compte tenu du but du traitement, incomplète ou non pertinente, ou dont l’enregistrement, la communication ou la conservation sont interdits, au traitement de
laquelle la personne concernée s’est opposée ou qui a été conservée au-delà de la période autorisée. »
21 L’article 240, paragraphe 4, de la LPD dispose :
« [L’[OCIP]
[...]
4° traite des réclamations, enquête sur l’objet de la réclamation dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire. [...] »
Le litige au principal et les questions préjudicielles
22 Au cours de l’année 2016, BA, alors salarié à temps partiel d’une association sans but lucratif, a sollicité une habilitation de sécurité auprès de l’Autorité nationale de sécurité pour pouvoir participer au montage et au démontage des installations pour la dixième édition des « Journées européennes du développement » à Bruxelles (Belgique).
23 Par courrier du 22 juin 2016, cette autorité a refusé de délivrer à BA une habilitation de sécurité, au motif qu’il ressortait des données à caractère personnel qui avaient été mises à sa disposition que cette personne avait participé à dix manifestations entre l’année 2007 et l’année 2016 et que ces éléments ne permettaient pas de lui attribuer une telle habilitation dans le cadre de la réglementation applicable, notamment pour des raisons de sûreté de l’État et de pérennité de l’ordre
démocratique constitutionnel. Cette décision n’a pas fait l’objet d’un recours.
24 Le 4 février 2020, le conseil de BA a demandé à l’OCIP d’identifier les responsables du traitement de données à caractère personnel en cause et de leur enjoindre de donner à son client l’accès à la totalité des informations le concernant afin de lui permettre d’exercer ses droits dans des délais appropriés.
25 Par courrier électronique du 6 février 2020, l’OCIP a accusé réception de cette demande. Il a indiqué que BA ne disposait que d’un droit d’accès indirect à ces données, tout en assurant qu’il allait lui-même vérifier la légalité d’un éventuel traitement de données dans la Banque de données nationale générale, à savoir la base de données utilisée par l’ensemble des services de police nationaux. En outre, il a précisé qu’il avait le pouvoir d’ordonner à la police de supprimer ou de modifier des
données, si nécessaire, et qu’à l’issue de ce contrôle, il informerait BA du fait que les vérifications nécessaires ont été effectuées.
26 Par courrier électronique du 22 juin 2020, l’OCIP a indiqué au conseil de BA :
« [...]
Je vous informe, conformément à l’article 42 de la [LPD], que l’[OCIP] a procédé aux vérifications nécessaires.
Cela signifie que les données à caractère personnel de votre client ont été vérifiées dans les banques de données policières en vue de garantir la légalité d’un éventuel traitement.
Si nécessaire, les données à caractère personnel ont été modifiées ou supprimées.
Comme je vous l’avais expliqué dans mon email du [2] juin dernier, l’article 42 de la LPD ne permet pas à l’[OCIP] de communiquer plus d’informations. »
27 Le 2 septembre 2020, Ligue des droits humains et BA ont présenté, sur le fondement de l’article 209, second alinéa, de la LPD une demande en référé devant le tribunal de première instance francophone de Bruxelles (Belgique).
28 En premier lieu, les requérants au principal demandaient à cette juridiction de déclarer leur demande en référé recevable et, à titre subsidiaire, d’interroger la Cour sur la question de savoir, en substance, si l’article 47, paragraphe 4, de la directive 2016/680, lu à la lumière des considérants 85 et 86 de cette directive et en combinaison avec l’article 8, paragraphe 3, et l’article 47 de la Charte, s’opposait aux articles 42 et 71 de la LPD, en ce que ceux-ci ne prévoyaient aucun recours
juridictionnel contre des décisions prises par l’OCIP.
29 En second lieu, sur le fond, ils demandaient l’accès à la totalité des données à caractère personnel concernant BA, par l’intermédiaire de l’OCIP, et l’identification, par ce dernier, des responsables du traitement et des destinataires éventuels de ces données.
30 Pour le cas où la juridiction saisie considérerait que l’article 42, paragraphe 2, de la LPD permettait de limiter systématiquement l’accès aux données à caractère personnel traitées par les services de police, ils sollicitaient, à titre subsidiaire, la saisine de la Cour concernant, en substance, la question de savoir si les articles 14, 15 et 17 de la directive 2016/680, lus en combinaison avec les articles 8 et 47 ainsi que l’article 52, paragraphe 1, de la Charte, devaient être interprétés en
ce sens qu’ils s’opposaient à une législation nationale admettant une dérogation générale et systématique du droit d’accès aux données à caractère personnel, dès lors, d’une part, que ce droit s’exerçait par l’intermédiaire de l’autorité de contrôle et, d’autre part, que celle-ci pouvait se limiter à indiquer à la personne concernée qu’elle avait procédé à toutes les vérifications nécessaires sans l’informer des données à caractère personnel faisant l’objet d’un traitement ainsi que des
destinataires et indépendamment de l’objectif poursuivi.
31 Par ordonnance du 17 mai 2021, le tribunal de première instance francophone de Bruxelles s’est déclaré « sans pouvoir de juridiction » pour connaître de cette demande en référé.
32 Par requête du 15 juin 2021 devant la cour d’appel de Bruxelles, les requérants au principal ont interjeté appel de cette ordonnance. Ils ont réitéré, en substance, les demandes qu’ils avaient présentées en première instance.
33 Dans ce contexte, la juridiction de renvoi relève, notamment, en substance, que, dans le cas où une personne ne dispose pas du droit d’exercer personnellement les droits prévus par la directive 2016/680, l’action en cessation prévue aux articles 209 et suivants de la LPD ne peut pas être mise en œuvre. En effet, tout d’abord, une telle action peut être intentée contre le responsable du traitement, mais non contre l’autorité de contrôle elle-même. Ensuite, elle ne peut pas non plus être exercée
par cette personne, en l’occurrence BA, contre le responsable du traitement, puisque l’exercice de ses droits est confié à ladite autorité. Enfin, l’information particulièrement succincte fournie par l’OCIP à BA ne permet ni à ce dernier ni à une juridiction d’apprécier si cette autorité de contrôle a correctement exercé les droits de ladite personne. Elle ajoute que, si la LPD prévoit que cette action en cessation est sans préjudice de tout autre recours juridictionnel, administratif ou
extrajudiciaire, un tel autre recours formé par BA se heurterait aux mêmes difficultés.
34 Dans ces conditions, la cour d’appel de Bruxelles a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 47 et l’article 8, [paragraphe] 3, de la [Charte] imposent‑ils de prévoir un recours juridictionnel à l’encontre de l’autorité de contrôle indépendante telle que l’[OCIP] lorsqu’elle exerce les droits de la personne concernée à l’égard du responsable du traitement ?
2) L’article 17 de la directive 2016/680 est-il conforme à l’article 47 et à l’article 8, [paragraphe] 3, de la [Charte] tels qu’ils sont interprétés par la [Cour] en ce qu’il n’oblige l’autorité de contrôle – qui exerce les droits de la personne concernée envers le responsable du traitement – qu’à informer cette personne “qu’elle a procédé à toutes les vérifications nécessaires ou à un examen” et “de son droit de former un recours juridictionnel”, alors que pareille information ne permet aucun
contrôle a posteriori sur l’action et l’appréciation de l’autorité de contrôle au regard des données de la personne concernée et des obligations qui pèsent sur le responsable du traitement ? »
Sur les questions préjudicielles
Sur la première question
35 À titre liminaire, il ressort de la demande de décision préjudicielle que les interrogations de la juridiction de renvoi concernent l’existence, sur le fondement de l’article 53, paragraphe 1, de la directive 2016/680, lu à la lumière de l’article 47 de la Charte, d’une obligation pour les États membres de prévoir un droit à un recours juridictionnel effectif contre l’autorité de contrôle nationale compétente, lorsqu’est mise en œuvre une disposition de droit national transposant l’article 17 de
cette directive, selon lequel, dans les cas visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, de ladite directive, les droits de la personne concernée peuvent être exercés par l’intermédiaire d’une telle autorité de contrôle.
36 En outre, il convient de relever que la réponse à cette question dépend de la nature et de la portée de la mission et des pouvoirs de l’autorité de contrôle dans le cadre de l’exercice des droits de la personne concernée, prévu à l’article 17 de la directive 2016/680. Or, ceux-ci sont précisés à l’article 46, paragraphe 1, sous g), et à l’article 47, paragraphes 1 et 2, de cette directive et doivent être analysés à la lumière de l’article 8, paragraphe 3, de la Charte qui exige que le respect des
règles relatives à la protection des données à caractère personnel, énoncées aux paragraphes 1 et 2 de cet article 8, soit soumis au contrôle d’une autorité indépendante.
37 Dès lors, il y a lieu de comprendre que, par sa première question, la juridiction de renvoi demande, en substance, si l’article 17 de la directive 2016/680, lu en combinaison avec l’article 46, paragraphe 1, sous g), l’article 47, paragraphes 1 et 2, et l’article 53, paragraphe 1, de cette directive, ainsi qu’avec l’article 8, paragraphe 3, et l’article 47 de la Charte, doit être interprété en ce sens que, lorsque les droits d’une personne ont été exercés, en application dudit article 17, par
l’intermédiaire de l’autorité de contrôle compétente, cette personne doit disposer d’un recours juridictionnel effectif contre ladite autorité.
38 D’emblée, il y a lieu de rappeler que, en vertu de l’article 53, paragraphe 1, de la directive 2016/680, les États membres doivent prévoir qu’une personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
39 Il convient donc de déterminer si une autorité de contrôle adopte une telle décision, lorsque, en application de l’article 17 de cette directive, les droits des personnes concernées énoncés par ladite directive sont exercés par l’intermédiaire de cette autorité de contrôle.
40 À cet égard, il convient de relever que, aux termes de l’article 17, paragraphe 1, de la directive 2016/680, « dans les cas visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4 », de cette directive, les États membres ont l’obligation d’adopter des mesures « afin que les droits de la personne concernée puissent également être exercés par l’intermédiaire de l’autorité de contrôle compétente ».
41 Comme l’indique l’emploi de l’adverbe « également » et comme l’a relevé, en substance, Mme l’avocate générale, aux points 41 et 42 de ses conclusions, l’exercice indirect des droits de la personne concernée par l’intermédiaire de l’autorité de contrôle compétente, prévu à cette disposition, constitue une garantie supplémentaire offerte à cette personne que ses données personnelles sont traitées de manière licite, lorsque des dispositions législatives nationales limitent l’exercice direct auprès
du responsable du traitement du droit de recevoir des informations additionnelles, visé à l’article 13, paragraphe 2, de la directive 2016/680, du droit d’accès à ces données, énoncé à l’article 14 de cette directive, ou du droit d’obtenir leur rectification, leur effacement ou la limitation du traitement dans les conditions de l’article 16, paragraphes 1 à 3, de ladite directive.
42 En effet, eu égard à la nature spécifique des finalités pour lesquelles les traitements de données relevant de la même directive sont effectués, soulignées, notamment, au considérant 10 de celle-ci, l’article 13, paragraphe 3, et l’article15, paragraphe 1, de la directive 2016/680 autorisent le législateur national à limiter l’exercice direct, d’une part, du droit d’information et, d’autre part, du droit d’accès, « dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure
nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique », pour « éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires », « éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales », « protéger la sécurité publique », « protéger la sécurité nationale », ou
« protéger les droits et les libertés d’autrui ». En outre, l’article 15, paragraphe 3, de cette directive prévoit que le responsable du traitement peut ne pas informer la personne concernée de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation, lorsque la communication de ces informations risque de compromettre l’un des objectifs d’intérêt public susvisés.
43 De même, l’article 16, paragraphe 4, de ladite directive autorise le législateur national à limiter l’obligation du responsable du traitement d’« informe[r] la personne concernée par écrit de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus » pour les mêmes objectifs d’intérêt public, « dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment
compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée ».
44 Dès lors, dans ce cadre, ainsi que le considérant 48 de la même directive le fait ressortir, l’exercice indirect des droits visés au point 41 du présent arrêt par l’intermédiaire de l’autorité de contrôle compétente doit être considéré comme étant nécessaire à la protection de ces droits, leur exercice direct auprès du responsable du traitement s’avérant difficile ou même impossible.
45 À cette fin, l’article 46, paragraphe 1, sous g), de la directive 2016/680 exige que chaque autorité nationale compétente soit investie de la mission de vérifier la licéité du traitement en vertu de l’article 17 de cette directive, à savoir à la suite d’une demande fondée sur cette dernière disposition.
46 Par ailleurs, il ressort notamment de l’article 47, paragraphes 1 et 2, de ladite directive que chaque autorité de contrôle doit disposer, en vertu de la législation nationale, non seulement de « pouvoirs d’enquête effectifs », mais aussi de « pouvoirs effectifs en matière d’adoption de mesures correctrices ».
47 Ces dispositions doivent être lues à la lumière de l’exigence énoncée à l’article 8, paragraphe 3, de la Charte selon laquelle le respect des règles relatives au droit de chaque personne à la protection des données à caractère personnel, énoncées aux paragraphes 1 et 2 de cet article doit être « soumis au contrôle d’une autorité indépendante », et, notamment, celle énoncée à la seconde phrase dudit paragraphe 2, en vertu de laquelle « toute personne a le droit d’accéder aux données collectées la
concernant et d’en obtenir la rectification ». En effet, ainsi que le confirme une jurisprudence constante, l’institution d’une autorité de contrôle indépendante, vise à assurer l’efficacité et la fiabilité du contrôle du respect des règles en matière de protection des personnes physiques à l’égard du traitement des données à caractère personnel et doit être interprétée à la lumière de cet objectif [voir, en ce sens, avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017, EU:C:2017:592, point 229
et jurisprudence citée].
48 Ainsi, lorsqu’une telle autorité de contrôle agit en vue d’assurer l’exercice des droits de la personne concernée sur le fondement de l’article 17 de la directive 2016/680, sa mission s’inscrit pleinement dans la définition, par le droit primaire de l’Union, de son rôle, dès lors que, cette définition implique, notamment, le contrôle du respect des droits d’accès et de rectification de la personne concernée. Il s’ensuit que, dans l’accomplissement de cette mission spécifique, comme dans le cadre
de toute autre mission, l’autorité de contrôle doit être en mesure d’exercer les pouvoirs qui lui sont conférés en vertu de l’article 47 de cette directive en agissant en toute indépendance, conformément à la Charte et ainsi que l’énonce le considérant 75 de ladite directive.
49 En outre, à l’issue de la vérification de la licéité du traitement, l’autorité de contrôle compétente doit, aux termes de l’article 17, paragraphe 3, première phrase, de la même directive, informer « au moins » la personne concernée « qu’elle a procédé à toutes les vérifications nécessaires ou à un examen ».
50 Ainsi que le relève, en substance, Mme l’avocate générale au point 65 de ses conclusions, il doit être déduit de l’ensemble de ces dispositions que, lorsque l’autorité de contrôle compétente informe la personne concernée du résultat des vérifications opérées, elle porte à sa connaissance la décision qu’elle a adoptée à son égard de clôturer le processus de vérification, laquelle décision affecte nécessairement la situation juridique de cette personne. Cette décision constitue donc à l’égard de
celle-ci une « décision juridiquement contraignante », au sens de l’article 53, paragraphe 1, de la directive 2016/680, indépendamment de la question de savoir si et dans quelle mesure cette autorité a constaté la licéité du traitement de données concernant ladite personne et a adopté des mesures correctrices.
51 D’ailleurs, le considérant 86 de cette directive énonce que la notion de « décision juridiquement contraignante », au sens de ladite directive, doit s’entendre d’une décision qui produit des effets juridiques à l’égard de la personne concernée, en particulier, d’une décision concernant l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, du pouvoir d’adopter des mesures correctrices et du pouvoir d’autorisation ou concernant le refus ou le rejet de réclamations.
52 Dès lors, la personne concernée doit pouvoir obtenir un contrôle juridictionnel du bien-fondé d’une telle décision sur le fondement de l’article 53, paragraphe 1, de la directive 2016/680 et, en particulier, de la manière dont l’autorité de contrôle s’est acquittée de son obligation, résultant de l’article 17 de cette directive et auquel renvoie l’article 46, paragraphe 1, sous g), de ladite directive, de « procéd[er] à toutes les vérifications nécessaires » et, le cas échéant, de l’exercice de
ses pouvoirs en matière d’adoption de mesures correctrices.
53 Cette conclusion est, au demeurant, corroborée par le considérant 85 de la directive 2016/680 duquel il ressort que toute personne concernée devrait disposer du droit à un recours juridictionnel effectif contre une autorité de contrôle si cette autorité « n’agit pas, alors qu’une action est nécessaire pour protéger les droits de la personne concernée ».
54 Enfin, une telle interprétation est conforme à l’article 47 de la Charte, dès lors que, ainsi qu’il ressort d’une jurisprudence constante, ce droit doit être reconnu à toute personne se prévalant de droits ou de libertés garantis par le droit de l’Union contre une décision lui faisant grief, de nature à porter atteinte à ces droits ou à ces libertés [voir, en ce sens, arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police),
C‑205/21, EU:C:2023:49, point 87 ainsi que jurisprudence citée].
55 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que l’article 17 de la directive 2016/680, lu en combinaison avec l’article 46, paragraphe 1, sous g), l’article 47, paragraphes 1 et 2, et l’article 53, paragraphe 1, de cette directive ainsi qu’avec l’article 8, paragraphe 3, et l’article 47 de la Charte, doit être interprété en ce sens que lorsque les droits d’une personne ont été exercés, en application dudit article 17, par l’intermédiaire
de l’autorité de contrôle compétente et que cette autorité informe ladite personne du résultat des vérifications opérées, cette dernière doit disposer d’un recours juridictionnel effectif contre la décision de ladite autorité de clôturer le processus de vérification.
Sur la seconde question
56 Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 17, paragraphe 3, de la directive 2016/680 est valide au regard de l’article 8, paragraphe 3, et de l’article 47 de la Charte, en ce qu’il oblige seulement l’autorité de contrôle à informer la personne concernée, d’une part, qu’elle a procédé à toutes les vérifications nécessaires ou à un examen et, d’autre part, que cette personne dispose d’un droit de former un recours juridictionnel, dès lors qu’une telle
information ne permet pas un contrôle juridictionnel sur l’action de l’autorité de contrôle et ses appréciations, eu égard aux données traitées et aux obligations du responsable du traitement.
57 À cet égard, d’une part, il y a lieu de rappeler que, selon un principe général d’interprétation, un acte de l’Union doit être interprété, dans la mesure du possible, d’une manière qui ne remette pas en cause sa validité et en conformité avec l’ensemble du droit primaire et, notamment, avec les dispositions de la Charte. Ainsi, lorsqu’un texte du droit dérivé de l’Union est susceptible de plus d’une interprétation, il convient de donner la préférence à celle qui rend la disposition conforme au
droit primaire plutôt qu’à celle conduisant à constater son incompatibilité avec celui-ci (arrêt du 21 juin 2022, Ligue des droits humains, C‑817/19, EU:C:2022:491, point 86 et jurisprudence citée).
58 D’autre part, le droit à un recours juridictionnel effectif, garanti à l’article 47 de la Charte, exige, en principe, que l’intéressé puisse connaître les motifs sur lesquels est fondée la décision prise à son égard, afin de lui permettre de défendre ses droits dans les meilleures conditions possibles et de décider en pleine connaissance de cause s’il est utile de saisir le juge compétent, ainsi que pour mettre ce dernier pleinement en mesure d’exercer le contrôle de la légalité de cette décision
(voir, en ce sens, arrêt du 4 juin 2013, ZZ, C‑300/11, EU:C:2013:363, point 53 et jurisprudence citée).
59 Si ce droit ne constitue pas une prérogative absolue et que, conformément à l’article 52, paragraphe 1, de la Charte, des limitations peuvent y être apportées, c’est à condition que ces limitations soient prévues par la loi, qu’elles respectent le contenu essentiel des droits et des libertés en cause et que, dans le respect du principe de proportionnalité, elles soient nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des
droits et des libertés d’autrui [arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police), C‑205/21, EU:C:2023:49, point 89 ainsi que jurisprudence citée].
60 En l’occurrence, il convient de relever que, pour ce qui est de la décision de l’autorité de contrôle compétente identifiée au point 50 du présent arrêt, l’article 17, paragraphe 3, de la directive 2016/680 instaure, à l’égard de cette autorité de contrôle, une obligation minimale d’information, en prévoyant qu’elle informe « au moins » la personne concernée du fait « qu’elle a procédé à toutes les vérifications nécessaires ou à un examen » et de « son droit de former un recours juridictionnel ».
61 Il s’ensuit que, dès lors que cette disposition ne s’oppose pas à ce que, dans certains cas, conformément aux règles adoptées par le législateur national pour la mettre en œuvre, l’autorité de contrôle puisse avoir la faculté, voire l’obligation de se limiter aux informations minimales visées au point précédent, sans autre précision, en particulier lorsque ces règles visent à éviter de compromettre les objectifs d’intérêt public énoncés à l’article 13, paragraphe 3, à l’article 15, paragraphe 1,
et à l’article 16, paragraphe 4, de ladite directive, ainsi que cela a été exposé aux points 42 et 43 du présent arrêt, elle est susceptible d’engendrer une limitation au droit à un recours juridictionnel effectif, garanti à l’article 47 de la Charte.
62 Cela étant, en premier lieu, il y a lieu de constater qu’une telle limitation est expressément prévue par la directive 2016/680 et que, ce faisant, elle respecte la condition énoncée à l’article 52, paragraphe 1, de la Charte, selon laquelle toute limitation de l’exercice d’un droit fondamental doit être « prévue par la loi ».
63 En second lieu, le fait que l’article 17, paragraphe 3, de la directive 2016/680 permette aux États membres de limiter, dans certains cas, la motivation de cette décision aux éléments minimaux énoncés à cette disposition ne signifie pas, comme l’indique, en substance, Mme l’avocate générale, au point 89 de ses conclusions, qu’il soit possible, en toutes circonstances, de réduire l’information de la personne concernée à ces seuls éléments.
64 En effet, il convient d’interpréter cette disposition à la lumière de l’article 52, paragraphe 1, de la Charte, de sorte que les autres critères qui sont énoncés par ce dernier soient satisfaits. Cela implique de considérer qu’elle exige des États membresde veiller à ce que les dispositions de droit national qui la mettent en œuvre, d’une part, respectent le contenu essentiel de son droit à une protection juridictionnel effective et, d’autre part, reposent sur une pondération des objectifs
d’intérêt public justifiant une limitation de cette information ainsi que des droits fondamentaux et des intérêts légitimes de cette personne, dans le respect des principes de nécessité et de proportionnalité, à l’instar de la pondération que le législateur national doit effectuer, lorsqu’il met en œuvre les limitations prévues à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, de ladite directive.
65 En particulier, lorsque, d’une part, la protection du droit à un recours juridictionnel effectif de la personne concernée contre la décision de clôturer le processus de vérification l’exige et que, d’autre part, les objectifs d’intérêt public visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, de la directive 2016/680 ne s’y opposent pas, il incombe aux États membres de prévoir que l’information de la personne concernée puisse aller au-delà des
informations minimales prévues à l’article 17, paragraphe 3, de cette directive, de manière à lui permettre de défendre ses droits et de décider en pleine connaissance de cause s’il est utile de saisir le juge compétent.
66 De même, les mesures nationales mettant en œuvre cette dernière disposition doivent, dans la mesure du possible, laisser à l’autorité de contrôle compétente, conformément à l’indépendance qui la caractérise en vertu de l’article 8, paragraphe 3, de la Charte, une certaine marge d’appréciation pour déterminer si le cadre défini par la législation nationale conformément aux exigences relevées au point 65 du présent arrêt ne s’oppose pas à ce qu’elle communique à cette personne, de manière, à tout
le moins, succincte, le résultat de ses vérifications ainsi que, le cas échéant, les mesures correctrices auxquelles elle a procédé. À cet égard, ainsi que Mme l’avocate générale l’a relevé, en substance, aux points 73 et 74 de ses conclusions, il appartient à cette autorité, dans le respect de ce cadre législatif national, d’engager avec le responsable du traitement un dialogue confidentiel et, à l’issue de ce dialogue, de décider quelles sont les informations nécessaires à l’exercice, par la
personne concernée, de son droit à un recours juridictionnel effectif qu’elle peut lui communiquer sans compromettre les objectifs d’intérêt public visés au point 65 du présent arrêt.
67 Par ailleurs, dans les cas où ledit cadre impose que l’information fournie par l’autorité de contrôle soit limitée à ce que prévoit l’article 17, paragraphe 3, de la directive 2016/680, il appartient, néanmoins, aux États membres, dans le cadre de leur autonomie procédurale, de mettre en œuvre les mesures nécessaires pour garantir, conformément à l’article 53, paragraphe 1, de cette directive, un contrôle juridictionnel effectif tant de l’existence et du bien-fondé des motifs ayant justifié la
limitation de ces informations que de l’exécution correcte, par l’autorité de contrôle, de sa mission de vérification de licéité du traitement. À cet égard, la notion de « recours juridictionnel effectif », visée à cette dernière disposition, doit être lue à la lumière du considérant 86 de ladite directive, aux termes duquel les juridictions devant lesquelles sont intentées les actions contre une autorité de contrôle « devraient disposer d’une pleine compétence, et notamment de celle d’examiner
toutes les questions de fait et de droit relatives au litige dont elles sont saisies ».
68 En particulier, les États membres doivent veiller à ce que le juge compétent ait à sa disposition et mette en œuvre des techniques et des règles de droit de procédure permettant de concilier, d’une part, les considérations légitimes relatives aux objectifs d’intérêt public visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, de la directive 2016/680, ces objectifs ayant été pris en considération par la législation nationale pour limiter les
informations fournies à la personne concernée et, d’autre part, la nécessité de garantir à suffisance au justiciable le respect de ses droits procéduraux, tels que le droit d’être entendu ainsi que le principe du contradictoire (voir, en ce sens, arrêt du 4 juin 2013, ZZ, C‑300/11, EU:C:2013:363, point 57 et jurisprudence citée).
69 Dans le cadre du contrôle juridictionnel de l’application correcte de l’article 17 de cette directive par l’autorité de contrôle, il incombe aux États membres de prévoir des règles permettant au juge compétent de prendre connaissance tant de l’ensemble des motifs que des éléments de preuve y afférents sur lesquels cette autorité a fondé, dans ce cadre, la vérification de la licéité du traitement de données en cause ainsi que les conclusions qu’elle en a tirées (voir, en ce sens, arrêt du 4 juin
2013, ZZ, C‑300/11, EU:C:2013:363, point 59 et jurisprudence citée).
70 À cet égard, ainsi que le Parlement européen l’a relevé dans ses observations, l’article 15, paragraphe 4, de la directive 2016/680 prévoit que le responsable du traitement consigne les motifs de fait ou de droit sur lesquels il fonde la décision par laquelle il a limité, en partie ou en totalité, les droits d’accès de la personne concernée et que ces informations sont mises à la disposition des autorités de contrôle. Comme cette institution l’a suggéré, cette disposition, lue en combinaison avec
les articles 17 et 53 de cette directive ainsi qu’à la lumière de l’article 47 de la Charte telle qu’interprétée par la jurisprudence rappelée aux points 68 et 69 du présent arrêt, implique que ces informations doivent être également mises à la disposition de la juridiction saisie d’un recours contre l’autorité de contrôle tendant au contrôle de l’application correcte dudit article 17.
71 Ainsi, il ressort des points 63 à 70 du présent arrêt que la limitation prévue à l’article 17 de la directive 2016/680 respecte le contenu du droit de la personne concernée à un recours juridictionnel effectif contre la décision de l’autorité de contrôle de clôturer la procédure prévue à cette disposition ainsi que les principes de nécessité et de proportionnalité, conformément à l’article 52, paragraphe 1, de la Charte.
72 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de conclure que l’examen de la seconde question n’a révélé aucun élément de nature à affecter la validité de l’article 17, paragraphe 3, de la directive 2016/680.
Sur les dépens
73 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (cinquième chambre) dit pour droit :
1) L’article 17 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison
avec l’article 46, paragraphe 1, sous g), l’article 47, paragraphes 1 et 2, et l’article 53, paragraphe 1, de cette directive ainsi qu’avec l’article 8, paragraphe 3, et l’article 47 de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
lorsque les droits d’une personne ont été exercés, en application dudit article 17, par l’intermédiaire de l’autorité de contrôle compétente et que cette autorité informe ladite personne du résultat des vérifications opérées, cette dernière doit disposer d’un recours juridictionnel effectif contre la décision de ladite autorité de clôturer le processus de vérification.
2) L’examen de la seconde question n’a révélé aucun élément de nature à affecter la validité de l’article 17, paragraphe 3, de la directive 2016/680.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le français.