ARRÊT DE LA COUR (troisième chambre)
11 janvier 2024 ( *1 )
« Renvoi préjudiciel – Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données (règlement général sur la protection des données) – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Journal officiel d’un État membre – Obligation de publier tels quels des actes de sociétés préparés par ces dernières ou leurs représentants légaux – Article 5, paragraphe 2 –
Traitement successif, par plusieurs personnes ou entités distinctes, des données à caractère personnel figurant dans de tels actes – Détermination des responsabilités »
Dans l’affaire C‑231/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la cour d’appel de Bruxelles (Belgique), par décision du 23 février 2022, parvenue à la Cour le 1er avril 2022, dans la procédure
État belge
contre
Autorité de protection des données,
en présence de :
LM,
LA COUR (troisième chambre),
composée de Mme K. Jürimäe, présidente de chambre, MM. N. Piçarra, M. Safjan (rapporteur), N. Jääskinen et M. Gavalec, juges,
avocat général : Mme L. Medina,
greffier : Mme C. Strömholm, administratrice,
vu la procédure écrite et à la suite de l’audience du 23 mars 2023,
considérant les observations présentées :
– pour l’Autorité de protection des données, par Mes F. Biebuyck, P.Van Muylder, avocates, et Me E. Kairis, advocaat,
– pour le gouvernement belge, par MM. P. Cottin, J.-C. Halleux et Mme C. Pochet, en qualité d’agents, assistés de Mes S. Kaisergruber et P. Schaffner, avocats,
– pour le gouvernement hongrois, par Mme Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar, H. Kranenborg et Mme A.-C. Simon, en qualité d’agents,
ayant entendu l’avocate générale en ses conclusions à l’audience du 8 juin 2023,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, point 7, et de l’article 5, paragraphe 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant l’État belge à l’Autorité de protection des données (Belgique) (ci-après l’« APD »), qui est l’autorité de contrôle instituée en Belgique en vertu de l’article 51 du RGPD, au sujet d’une décision par laquelle cette autorité a enjoint à l’autorité gérant le Moniteur belge, le Journal officiel qui assure, dans cet État membre, la production et la diffusion d’un large éventail de publications officielles et publiques sur papier et par
voie électronique, de donner suite à l’exercice, par une personne physique, de son droit à l’effacement concernant plusieurs données à caractère personnel figurant dans un acte publié dans ce Journal officiel.
Le cadre juridique
Le droit de l’Union
3 L’article 4, points 2 et 7, du RGPD dispose :
« Aux fins du présent règlement, on entend par :
[...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;
[...] »
4 L’article 5 du RGPD énonce :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89,
paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
5 L’article 17 du RGPD est rédigé de la manière suivante :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
[...]
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :
[...]
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...]
d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ; [...]
[...] »
6 Aux termes de l’article 26 du RGPD :
« 1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations
visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure où, leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
2. L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
3. Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement. »
7 L’article 51 du RGPD dispose notamment que les États membres doivent prévoir une ou plusieurs autorités publiques indépendantes chargées de surveiller l’application de ce règlement.
Le droit belge
8 L’article 472 de la loi-programme du 24 décembre 2002 (Moniteur belge du 31 décembre 2002, p. 58686) dispose :
« Le Moniteur belge est une publication officielle éditée par la Direction du Moniteur belge, qui rassemble tous les textes pour lesque[ls] la publication au Moniteur belge est ordonnée. »
9 L’article 474 de cette loi-programme indique :
« La publication au Moniteur belge par la Direction du Moniteur belge se fait en quatre exemplaires imprimés sur papier.
[...]
Un exemplaire est conservé électroniquement. Le Roi détermine les modalités de la conservation électronique [...] »
10 L’article 475 de ladite loi-programme est rédigée de la manière suivante :
« Toute autre mise à disposition du public est réalisée par l’intermédiaire du site [I]nternet de la Direction du Moniteur belge.
Les publications mises à disposition sur ce site [I]nternet sont les reproductions exactes dans un format électronique des exemplaires sur papier prévus à l’article 474. »
11 Aux termes de l’article 475 bis de la même loi-programme :
« Tout citoyen peut obtenir à prix coûtant auprès des services du Moniteur belge, par le biais d’un service d’aide téléphonique gratuit, une copie des actes et documents publiés au Moniteur belge. Ce service est également chargé de fournir aux citoyens un service d’aide à la recherche de documents. »
12 L’article 475 ter de la loi-programme du 24 décembre 2002 prévoit :
« D’autres mesures d’accompagnement sont prises par arrêté royal délibéré en Conseil des Ministres afin d’assurer la diffusion et l’accès les plus larges possibles aux informations contenues dans le Moniteur belge. »
Le litige au principal et les questions préjudicielles
13 En Belgique, une personne physique détenait la majorité des parts d’une société privée à responsabilité limitée. Les associés de cette société ayant décidé d’opérer une réduction du capital de celle-ci, les statuts de ladite société ont été modifiés par une décision de l’assemblée extraordinaire de celle-ci du 23 janvier 2019.
14 Conformément au code des sociétés, dans sa version issue de la loi du 7 mai 1999 (Moniteur belge du 6 août 1999, p. 29440), un extrait de cette décision a été préparé par le notaire de cette personne physique avant d’être transmis par celui-ci au greffe du tribunal compétent, à savoir le tribunal de l’entreprise dans le ressort territorial duquel cette société a son siège. En vertu des dispositions légales pertinentes, le tribunal a communiqué cet extrait pour publication à la direction du
Moniteur belge.
15 Le 12 février 2019, ledit extrait a été publié tel quel, c’est-à-dire sans contrôle de son contenu, dans les annexes du Moniteur belge conformément aux dispositions légales applicables.
16 Le même extrait contient la décision de réduire le capital de ladite société, le montant initial de ce capital, le montant de la réduction concernée ainsi que le nouveau montant du capital social et le nouveau texte des statuts de la même société. Il contient également un passage dans lequel sont indiqués le nom des deux associés de cette dernière, dont celui de la personne physique mentionnée au point 13 du présent arrêt, les montants qui leur ont été remboursés ainsi que leurs numéros de compte
bancaire (ci-après le « passage en cause au principal »).
17 Ayant constaté que son notaire avait commis une erreur en incluant dans l’extrait mentionné au point 14 du présent arrêt le passage en cause au principal alors que cela n’était pas requis par la loi, cette personne physique a, par l’intermédiaire de ce notaire et du délégué à la protection des données de ce dernier, entamé des démarches visant à obtenir la suppression de ce passage, conformément à son droit à l’effacement prévu à l’article 17 du RGPD.
18 Le service public fédéral Justice (ci-après le « SPF Justice »), auquel la direction du Moniteur belge est rattachée, a, notamment par une décision du 10 avril 2019, refusé de donner suite à une telle demande d’effacement.
19 Le 21 janvier 2020, ladite personne physique a déposé plainte contre le SPF Justice auprès de l’APD pour faire constater que cette demande d’effacement était fondée et que les conditions d’exercice du droit à l’effacement prévues à l’article 17, paragraphe 1, du RGPD étaient réunies.
20 Par une décision du 23 mars 2021, l’APD a adressé une « réprimande » au SPF Justice tout en enjoignant à ce dernier de donner suite à ladite demande d’effacement dans les meilleurs délais, au plus tard dans les 30 jours suivant la notification de cette décision.
21 Le 22 avril 2021, l’État belge a saisi la cour d’appel de Bruxelles (Belgique), qui est la juridiction de renvoi, en vue d’obtenir l’annulation de ladite décision.
22 Cette juridiction relève que les parties s’opposent sur la question de savoir de quelle manière il convient d’interpréter, dans l’affaire au principal, la notion de « responsable du traitement » figurant à l’article 4, point 7, du RGPD, dès lors que les données à caractère personnel figurant dans le passage en cause au principal, dont la publication n’était pas requise par la loi, ont fait l’objet d’un traitement par plusieurs responsables de traitement « successifs » potentiels. Ceux‑ci sont,
premièrement, le notaire qui a rédigé l’extrait comprenant le passage en cause au principal en y insérant par erreur ces données, deuxièmement, le greffe du tribunal où cet extrait a par la suite été déposé avant d’être transmis au Moniteur belge pour publication et, troisièmement, le Moniteur belge qui, conformément aux dispositions légales régissant son statut et ses missions, l’a publié tel quel, c’est‑à‑dire sans pouvoir de contrôle et de modification, après réception de la part de ce
tribunal.
23 Dans ce cadre, la juridiction de renvoi se demande si le Moniteur belge peut être qualifié de « responsable du traitement », au sens de l’article 4, point 7, du RGPD. Dans l’affirmative et tout en relevant que les parties au principal n’invoquent pas la responsabilité conjointe prévue à l’article 26 du RGPD, cette juridiction cherche également à savoir si le Moniteur belge doit être tenu pour seul responsable, en vertu de l’article 5, paragraphe 2, de ce règlement, du respect des principes
édictés à l’article 5, paragraphe 1, dudit règlement, ou bien si cette responsabilité incombe aussi cumulativement aux instances publiques qui ont traité en amont les données figurant dans le passage en cause au principal, à savoir le notaire qui a rédigé l’extrait comprenant ce passage et le tribunal de l’entreprise dans le ressort territorial duquel la société privée à responsabilité limitée concernée a son siège social.
24 Dans ces conditions, la cour d’appel de Bruxelles a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 4, [point] 7, du [RGPD] doit-il être interprété en ce sens qu’un Journal officiel d’un État membre – investi d’une mission de service public de publication et d’archivage de documents officiels, qui, en vertu de la législation nationale applicable, est chargé de publier les actes et documents officiels dont la publication lui est ordonnée par des instances publiques tierces, tels qu’ils sont communiqués par ces instances après qu’elles ont elles-mêmes traité des données à caractère
personnel contenues dans ces actes et documents, sans être investi par le législateur national d’un pouvoir d’appréciation quant au contenu des documents à publier [ni] quant à la finalité et aux moyens de la publication – revêt la qualité de responsable du traitement ?
2) En cas de réponse [affirmative] à la première question, l’article 5, [paragraphe] 2, du [RGPD] doit-il être interprété en ce sens que le Journal officiel en question doit être seul tenu du respect des obligations pesant sur le responsable du traitement [aux termes] de cette disposition, à l’exclusion des instances publiques tierces ayant traité préalablement les données figurant dans les actes et documents officiels dont elles lui demandent la publication, ou ces obligations reposent-[elles]
de manière cumulative sur chacun des responsables de traitement successifs ? »
Sur les questions préjudicielles
Sur la première question
25 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 4, point 7, du RGPD doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui adresse
pour publication, peut être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, au sens de cette disposition.
26 À titre liminaire, il y a lieu de préciser que la notion de « responsable du traitement », visée à l’article 4, point 7, du RGPD, présuppose l’existence d’un « traitement » de données à caractère personnel, au sens de l’article 4, point 2, de ce règlement. En l’occurrence, il ressort de la décision de renvoi que les données à caractère personnel figurant dans le passage en cause au principal ont fait l’objet d’un traitement par le Moniteur belge. Même si la juridiction de renvoi n’expose pas en
détail ce traitement, il ressort des observations écrites concordantes de l’APD et du gouvernement belge que ces données ont été à tout le moins collectées, enregistrées, conservées, communiquées par transmission et diffusées par le Moniteur belge, de telles opérations constituant un « traitement » au sens de l’article 4, point 2, dudit règlement.
27 Sous le bénéfice de cette précision liminaire, il convient de rappeler que, en vertu de l’article 4, point 7, du RGPD, la notion de « responsable du traitement » couvre les personnes physiques ou morales, les autorités publiques, les services ou les autres organismes qui, seuls ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement. Cette disposition énonce également que, lorsque les finalités et les moyens de ce traitement sont déterminés notamment par le droit
d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par ce droit.
28 À cet égard, il convient de rappeler que, selon la jurisprudence de la Cour, cette disposition vise à assurer, par une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées (voir, en ce sens, arrêts du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 29, et du 5 décembre 2023, Deutsche Wohnen, C‑807/21, EU:C:2023: 95 0, point 40 ainsi que jurisprudence citée).
29 Compte tenu du libellé de l’article 4, point 7, du RGPD, lu à la lumière de cet objectif, il apparaît que, pour déterminer si une personne ou une entité doit être qualifiée de « responsable du traitement », au sens de cette disposition, il convient de rechercher si cette personne ou cette entité détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement ou bien si ceux-ci sont déterminés par le droit national. Lorsqu’une telle détermination est effectuée par le
droit national, il convient alors de vérifier si ce droit désigne le responsable du traitement ou prévoit les critères spécifiques applicables à sa désignation.
30 À cet égard, il importe de préciser que, eu égard à la définition large de la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, la détermination des finalités et des moyens du traitement et, le cas échéant, la désignation de ce responsable par le droit national peuvent être non seulement explicites, mais également implicites. Dans ce dernier cas de figure, il est néanmoins requis que cette détermination découle de manière suffisamment certaine du rôle, de la
mission et des attributions dévolus à la personne ou à l’entité concernée. En effet, ce serait amoindrir la protection de ces personnes si l’article 4, point 7, du RGPD était interprété de manière restrictive pour ne couvrir que les cas de figure dans lesquels les finalités et les moyens d’un traitement de données opéré par une personne, une autorité publique, un service ou un organisme sont déterminés expressément par le droit national, alors même que ces finalités et ces moyens ressortiraient,
en substance, des dispositions légales régissant l’activité de l’entité concernée.
31 En l’occurrence, premièrement, la juridiction de renvoi précise que, dans l’affaire au principal, le Moniteur belge ne semble pas être investi par le droit national du pouvoir de déterminer les finalités et les moyens des traitements de données qu’il effectue, la première question préjudicielle étant posée en partant de cette prémisse. Par ailleurs, il ressort des explications concordantes de l’APD et du gouvernement belge lors de l’audience que l’autorité publique gérant le Moniteur belge, à
savoir le SPF Justice, ne semble pas non plus être investie par le droit national d’un tel pouvoir.
32 Deuxièmement, il ressort des éléments du dossier dont dispose la Cour que les données à caractère personnel figurant dans les actes et les documents transmis au Moniteur belge pour publication sont essentiellement collectées, enregistrées, conservées et publiées telles quelles en vue d’informer officiellement le public de l’existence de ces actes et de ces documents et de rendre ceux-ci opposables aux tiers.
33 En outre, il ressort des explications fournies par la juridiction de renvoi que le traitement s’effectue essentiellement à l’aide de moyens automatisés : notamment, les données concernées sont reproduites sur des exemplaires imprimés sur papier dont l’un est conservé électroniquement, les exemplaires papier sont reproduits en format électronique pour le site Internet du Moniteur belge et une copie peut être obtenue par l’intermédiaire d’un service d’aide téléphonique chargé en outre de fournir
aux citoyens un service d’aide à la recherche de documents.
34 Il découle ainsi des éléments du dossier dont dispose la Cour que le droit belge a déterminé, à tout le moins implicitement, les finalités et les moyens du traitement des données à caractère personnel effectué par le Moniteur belge.
35 Dans ces circonstances, il convient de relever que le Moniteur belge peut être considéré comme étant, en tant que service ou organisme chargé de traiter les données à caractère personnel figurant dans ses publications conformément aux finalités et aux moyens de traitement prescrits par la législation belge, le « responsable du traitement », au sens de l’article 4, point 7, du RGPD.
36 Cette conclusion n’est pas remise en cause par la circonstance que le Moniteur belge, en tant que subdivision du SPF Justice, n’est pas doté de la personnalité juridique. En effet, il ressort du libellé clair de cette disposition qu’un responsable du traitement peut être non seulement une personne physique ou morale, mais aussi une autorité publique, un service ou un organisme, de telles entités n’étant pas nécessairement dotées de la personnalité juridique en fonction du droit national.
37 De même, le fait que, en vertu du droit national, le Moniteur belge ne contrôle pas, avant leur publication dans ce Journal officiel, les données à caractère personnel figurant dans les actes et les documents reçus par ledit Journal officiel ne saurait avoir une incidence sur le point de savoir si le Moniteur belge peut être qualifié de responsable du traitement.
38 En effet, s’il est vrai que le Moniteur belge doit publier le document concerné tel quel, c’est lui seul qui assume cette tâche et diffuse ensuite l’acte ou le document concerné. D’une part, la publication de tels actes et de tels documents sans possibilité de contrôle ni de modification de leur contenu est intrinsèquement liée aux finalités et aux moyens du traitement déterminés par le droit national, en ce que le rôle d’un Journal officiel tel que le Moniteur belge se limite à informer le
public de l’existence de ces actes et de ces documents, tels qu’ils sont transmis à ce Journal officiel sous la forme de copie conformément au droit national applicable, de manière à les rendre opposables aux tiers. D’autre part, il serait contraire à l’objectif de l’article 4, point 7, du RGPD, visé au point 28 du présent arrêt, d’exclure de la notion de « responsable du traitement » le Journal officiel d’un État membre au motif que ce dernier n’exerce pas de contrôle sur les données à caractère
personnel figurant dans ses publications (voir, par analogie, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 34).
39 Eu égard aux motifs qui précèdent, il y a lieu de répondre à la première question que l’article 4, point 7, du RGPD doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui
adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.
Sur la seconde question
40 Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 2, du RGPD doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, doit être tenu pour seul responsable du respect des principes visés à l’article 5, paragraphe 1, du RGPD ou bien si ce respect incombe de manière cumulative à ce service ou à cet organisme et aux
entités publiques tierces qui ont traité préalablement les données à caractère personnel figurant dans les actes et les documents publiés par ce Journal officiel.
41 Tout d’abord, il y a lieu de rappeler que, en vertu de l’article 5, paragraphe 2, du RGPD, le responsable du traitement est responsable du respect des principes prévus sous la forme d’obligations au paragraphe 1 de cet article et doit être en mesure de démontrer que ces principes sont respectés.
42 En l’occurrence, il ressort du dossier dont dispose la Cour que le traitement des données à caractère personnel en cause au principal qui a été confié au Moniteur belge est à la fois postérieur au traitement effectué par le notaire et par le greffe du tribunal compétent et techniquement différent du traitement effectué par ces deux entités en ce qu’il vient s’y ajouter. En effet, les opérations effectuées par le Moniteur belge lui sont confiées par la législation nationale et impliquent notamment
la transformation numérique des données figurant dans les actes ou les extraits d’actes qui lui sont soumis, la publication de celles-ci, leur mise à disposition à un large public ainsi que leur conservation.
43 Dès lors, le Moniteur belge doit être considéré comme étant, en vertu de l’article 5, paragraphe 2, du RGPD, responsable du respect des principes visés au paragraphe 1 de cet article, en ce qui concerne les traitements qu’il est tenu d’effectuer en vertu du droit national, et, partant, de l’ensemble des obligations imposées au responsable du traitement par le RGPD.
44 Ensuite, compte tenu des interrogations de la juridiction de renvoi en ce qui concerne le point de savoir si un tel Journal officiel est seul responsable de ces traitements, il convient de rappeler que, ainsi qu’il résulte du libellé de l’article 4, point 7, du RGPD, cette disposition prévoit non seulement que les finalités et les moyens d’un traitement de données à caractère personnel peuvent être déterminés conjointement par plusieurs personnes en tant que responsables du traitement, mais
également que le droit national peut déterminer lui-même ces finalités et ces moyens et désigner le responsable du traitement ou les critères spécifiques applicables à sa désignation.
45 Ainsi, dans le cadre d’une chaîne de traitements opérés par différentes personnes ou entités et portant sur les mêmes données à caractère personnel, le droit national peut déterminer les finalités et les moyens de l’ensemble des traitements opérés successivement par ces différentes personnes ou entités de manière à ce que celles-ci soient conjointement tenues pour responsables du traitement.
46 Par ailleurs, il y a lieu de rappeler que l’article 26, paragraphe 1, du RGPD prévoit une responsabilité conjointe lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens d’un traitement de données à caractère personnel. Cette disposition énonce également que les responsables conjoints du traitement doivent définir de manière transparente, par voie d’accord entre eux, leurs obligations respectives aux fins d’assurer le respect des exigences de ce
règlement, sauf si et dans la mesure où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel ils sont soumis.
47 Il ressort ainsi de ladite disposition que les obligations respectives des responsables conjoints d’un traitement de données à caractère personnel ne dépendent pas nécessairement de l’existence d’un accord entre les différents responsables (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, points 44 et 45), mais peuvent découler du droit national.
48 En outre, la Cour a jugé, d’une part, qu’il suffit qu’une personne influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement pour pouvoir être conjointement tenue pour responsable du traitement et, d’autre part, que la responsabilité conjointe de plusieurs acteurs pour un même traitement ne présuppose pas que chacun d’eux ait accès aux données à caractère personnel concernées
(voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, points 40 à 43 et jurisprudence citée).
49 Il résulte des points 44 à 48 du présent arrêt que, en vertu des dispositions combinées de l’article 26, paragraphe 1, et de l’article 4, point 7, du RGPD, la responsabilité conjointe de plusieurs acteurs d’une chaîne de traitements portant sur les mêmes données à caractère personnel peut être établie par le droit national pour autant que les différentes opérations de traitement soient unies par des finalités et des moyens déterminés par ce droit et que celui-ci définisse les obligations
respectives de chacun des responsables conjoints du traitement.
50 Il convient de préciser qu’une telle détermination des finalités et des moyens unissant les différents traitements opérés par plusieurs acteurs d’une chaîne ainsi que des obligations respectives de ceux-ci peut être effectuée non seulement de manière directe, mais également de manière indirecte par le droit national, à condition, dans ce dernier cas de figure, qu’elle puisse se déduire de manière suffisamment explicite des dispositions légales régissant les personnes ou les entités concernées
ainsi que le traitement des données à caractère personnel qu’elles opèrent dans le cadre de la chaîne de traitements imposée par ce droit.
51 Enfin et à toutes fins utiles, il y a lieu de préciser que, dans le cas où la juridiction de renvoi en viendrait à la conclusion que le service ou l’organisme chargé du Moniteur belge est non pas seul, mais conjointement avec d’autres responsable du respect des principes visés à l’article 5, paragraphe 1, du RGPD en ce qui concerne les données figurant dans le passage en cause au principal, une telle conclusion ne préjugerait en rien de la question de savoir si, au regard notamment des exceptions
visées à l’article 17, paragraphe 3, sous b) et d), du RGPD, il convient de faire droit à la demande d’effacement présentée par la personne physique mentionnée au point 13 du présent arrêt.
52 Eu égard aux motifs qui précèdent, il y a lieu de répondre à la seconde question que l’article 5, paragraphe 2, du RGPD, lu en combinaison avec l’article 4, point 7, et l’article 26, paragraphe 1, de celui-ci, doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l’article 5, paragraphe 1, de
celui-ci en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit.
Sur les dépens
53 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit :
1) L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de « responsable du traitement » des données à caractère
personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel.
2) L’article 5, paragraphe 2, du règlement 2016/679, lu en combinaison avec l’article 4, point 7, et l’article 26, paragraphe 1, de celui-ci,
doit être interprété en ce sens que :
le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l’article 5, paragraphe 1, de celui‑ci en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de
ce droit.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le français.