ARRÊT DE LA COUR (grande chambre)
5 mars 2024 ( *1 )
« Pourvoi – Coopération des services répressifs – Règlement (UE) 2016/794 – Article 49, paragraphe 3, et article 50 – Protection des données à caractère personnel – Traitement de données illicite – Procédure pénale engagée en Slovaquie contre le requérant – Expertise réalisée par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) aux fins de l’instruction – Extraction de données de téléphones portables et d’un support de stockage USB appartenant au requérant –
Divulgation de ces données – Préjudice moral – Recours en indemnité – Nature de la responsabilité extracontractuelle »
Dans l’affaire C‑755/21 P,
ayant pour objet un pourvoi au titre de l’article 56 du statut de la Cour de justice de l’Union européenne, introduit le 8 décembre 2021,
Marián Kočner, demeurant à Bratislava (Slovaquie), représenté par Mes M. Mandzák et M. Para, advokáti,
partie requérante,
l’autre partie à la procédure étant :
Agence de l’Union européenne pour la coopération des services répressifs (Europol), représentée par M. A. Nunzi, en qualité d’agent, assisté de Mes M. Kottmann et G. Ziegenhorn, Rechtsanwälte,
partie défenderesse en première instance,
soutenue par :
République slovaque, représentée initialement par Mme S. Ondrášiková, puis par Mmes E. V. Drugda et S. Ondrášiková, en qualité d’agents,
partie intervenante au pourvoi,
Royaume d’Espagne,
partie intervenante en première instance,
LA COUR (grande chambre),
composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice-président, M. A. Arabadjiev, Mme A. Prechal, MM. E. Regan, F. Biltgen, N. Piçarra et Mme O. Spineanu‑Matei (rapporteure), présidents de chambre, MM. S. Rodin, P. G. Xuereb, Mme L. S. Rossi, M. N. Wahl, Mme I. Ziemele, MM. J. Passer et D. Gratsias, juges,
avocat général : M. A. Rantos,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
ayant entendu l’avocat général en ses conclusions à l’audience du 15 juin 2023,
rend le présent
Arrêt
1 Par son pourvoi, M. Marián Kočner demande l’annulation de l’arrêt du Tribunal de l’Union européenne du 29 septembre 2021, Kočner/Europol (T‑528/20, ci-après l’ arrêt attaqué , EU:T:2021:631), par lequel celui-ci a rejeté sa demande fondée sur l’article 268 TFUE et tendant à obtenir réparation de préjudices qu’il aurait prétendument subis du fait de la divulgation par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) de données à caractère personnel et de
l’inscription par Europol de son nom sur les « listes des mafieux ».
Le cadre juridique
2 Aux termes des considérants 23, 45, 56, 57 et 65 du règlement (UE) 2016/794 du Parlement européen et du Conseil, du 11 mai 2016, relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO 2016, L 135, p. 53) :
« (23) Afin de prévenir et de lutter contre les formes de criminalité relevant de ses objectifs, il est nécessaire qu’Europol dispose des informations les plus complètes et les plus récentes possible. En conséquence, Europol devrait pouvoir traiter les données que lui fournissent les États membres, [...]
[...]
(45) Afin de garantir la sécurité des données à caractère personnel, il convient qu’Europol et les États membres mettent en œuvre les mesures techniques et organisationnelles nécessaires.
[...]
(56) Il convient qu’Europol soit soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, agences et organes de l’Union [européenne], à l’exception des règles relatives à la responsabilité pour traitement illicite de données.
(57) Il peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre. Il convient, par conséquent, qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables.
[...]
(65) Europol traite des données qui exigent une protection particulière puisqu’elles comprennent des informations sensibles non classifiées et classifiées de l’UE. Il convient, par conséquent, qu’Europol établisse des règles en matière de confidentialité et de traitement de ces informations. Les règles en matière de protection des informations classifiées de l’UE devraient être compatibles avec la décision 2013/488/UE du Conseil[, du 23 septembre 2013, concernant les règles de sécurité aux fins de
la protection des informations classifiées de l’Union européenne (JO 2013, L 274, p. 1)]. »
3 L’article 2 de ce règlement, intitulé « Définitions », dispose :
« Aux fins du présent règlement, on entend par :
[...]
h) “données à caractère personnel”, toute information se rapportant à une personne concernée ;
i) “personne concernée”, une personne physique identifiée ou identifiable, une “personne identifiable” étant une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel [qu’un] nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
[...]
k) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...] »
4 L’article 3 dudit règlement, intitulé « Objectifs », énonce, à son paragraphe 1 :
« Europol appuie et renforce l’action des autorités compétentes des États membres et leur collaboration mutuelle dans la prévention de la criminalité grave affectant deux ou plusieurs États membres, du terrorisme et des formes de criminalité qui portent atteinte à un intérêt commun qui fait l’objet d’une politique de l’Union, ainsi que dans la lutte contre ceux-ci [...] »
5 L’article 17 du même règlement, intitulé « Sources d’information », dispose, à son paragraphe 1 :
« Europol ne traite que les informations qui lui ont été fournies :
a) par les États membres, conformément à leur droit national et à l’article 7 ;
[...] »
6 L’article 18 du règlement 2016/794, intitulé « Finalités des activités de traitement d’informations », dispose, à son paragraphe 1 :
« Dans la mesure nécessaire pour atteindre ses objectifs tels qu’énoncés à l’article 3, Europol peut traiter des informations, y compris des données à caractère personnel. »
7 L’article 28 de ce règlement, intitulé « Principes généraux en matière de protection de données », dispose, à son paragraphe 1 :
« Les données à caractère personnel sont :
a) traitées loyalement et licitement ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. [...]
[...]
f) traitées de manière à leur assurer un niveau de sécurité approprié. »
8 L’article 32 dudit règlement, intitulé « Sécurité du traitement », prévoit, à son paragraphe 1 :
« Europol met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, la modification et l’accès non autorisés, ou contre toute autre forme de traitement non autorisé. »
9 L’article 38 du même règlement, intitulé « Responsabilité en matière de protection des données », énonce, à ses paragraphes 4, 5 et 7 :
« [...]
4. Europol est responsable du respect des principes visés à l’article 28, paragraphe 1, points a), b), [...] et f).
5. La responsabilité de la légalité du transfert des données incombe à :
a) l’État membre qui a fourni les données à caractère personnel à Europol ;
b) Europol, dans le cas de données à caractère personnel fournies par celui-ci à des États membres [...]
[...]
7. Europol assume la responsabilité de toutes les opérations de traitement de données qu’elle effectue, [...] »
10 L’article 49 du règlement 2016/794, intitulé « Dispositions générales en matière de responsabilité et droit à réparation », dispose, à son paragraphe 3 :
« Sans préjudice de l’article 49, en matière de responsabilité extracontractuelle, Europol, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions. »
11 L’article 50 de ce règlement, intitulé « Responsabilité du fait d’un traitement incorrect de données et droit à réparation », prévoit :
« 1. Toute personne physique ayant subi un dommage du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi, soit d’Europol conformément à l’article 340 [TFUE], soit de l’État membre où le fait dommageable s’est produit, conformément à son droit national. La personne physique forme un recours contre Europol devant la Cour de justice de l’Union européenne ou contre l’État membre devant une juridiction nationale compétente de cet État membre.
2. Le conseil d’administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément au paragraphe 1, lequel statue à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l’article 263 [TFUE]. »
Les antécédents du litige
12 Les antécédents du litige, exposés aux points 1 à 16 de l’arrêt attaqué, peuvent, pour les besoins de la présente procédure, être résumés de la manière suivante.
13 Dans le cadre d’une enquête menée par les autorités slovaques à la suite de l’assassinat en Slovaquie, dans le courant du mois de février 2018, d’un journaliste et de sa fiancée, Europol a, à la demande de la Národná kriminálna agentúra (Agence nationale de lutte contre la criminalité, Slovaquie) (ci-après la « NAKA »), apporté son soutien à ces autorités en procédant à l’extraction des données stockées, d’une part, sur deux téléphones portables qui auraient appartenu au requérant (ci-après les
« téléphones portables en cause ») et qui lui ont été remis le 10 octobre 2018 par la NAKA, et, d’autre part, sur un support de stockage USB.
14 Le 21 juin 2019, Europol a communiqué à la NAKA les rapports scientifiques définitifs relatifs aux opérations effectuées sur les téléphones portables en cause.
15 Selon Europol, cette communication a été précédée, le 23 octobre 2018, de la remise par cette agence à la NAKA d’un disque dur contenant les données cryptées extraites notamment de ces téléphones portables et, le 13 février 2019, de la remise de ces derniers par Europol à la NAKA.
16 À titre de preuve de ces remises, Europol a fourni la copie d’un procès-verbal à l’en-tête officiel de la NAKA, daté du 23 octobre 2018, mentionnant la référence PPZ-203/NKA-PZ-ZA-2018 et signé par le chef de l’équipe d’enquête, A, ainsi que celle d’un formulaire de réception/remise de preuves, daté du 13 février 2019, portant la même référence, listant notamment les téléphones portables en cause et signé tant par le livreur que par le destinataire des preuves.
17 Ce procès-verbal du 23 octobre 2018 était libellé dans les termes suivants :
« Ce jour, le 23 octobre 2018, à 1 h 30, m’a été remis un disque externe HDD de couleur noire contenant les résultats provisoires de l’enquête d’Europol, récupéré par décision[s] du 8 octobre 2018 et du 10 octobre 2018. Ledit disque externe a été apporté personnellement par l’employé d’Europol B, depuis le siège d’Europol à La Haye [Pays-Bas].
Le disque en question contient des résultats provisoires sous la forme d’acquisitions et d’extractions de la mémoire pour les preuves 1Z (carte SIM uniquement), 2Z, 3Z, 4Z (carte SIM uniquement), 5Z, 6Z, 7Z, 8Z, 1K, 2K.
Le contenu dudit disque HDD est protégé par un mot de passe qui m’a été communiqué. »
18 Concernant le support de stockage USB, la NAKA a, le 17 octobre 2018, sollicité l’assistance d’Europol afin, notamment, d’examiner les données contenues dans celui-ci.
19 Le rapport d’Europol du 13 janvier 2019 (ci-après le « rapport d’Europol »), transmis à la NAKA le 14 février 2019, mentionne, sous l’intitulé « Contexte (historique) », que « [le requérant] est placé en détention pour présomption de délit financier depuis le 20 juin 2018. Son nom est, entre autres, directement lié aux “listes dites mafieuses” et aux “Panama Papers”. »
20 Le 1er avril 2019, les autorités pénales slovaques auraient fait usage des informations contenues dans les téléphones portables en cause dans le cadre d’une procédure pénale engagée contre le requérant. De même, il ressortirait d’un procès-verbal des services de police slovaques du 18 juin 2019 que ces autorités ont procédé à une analyse complète des données contenues dans ces téléphones.
21 En outre, divers articles de presse ainsi que des sites Internet, dont celui d’un réseau international de journalistes d’investigation, auraient fait état d’un volume très important d’informations relatives au requérant issues notamment des téléphones portables en cause et auraient mis ces informations à la disposition du public. En particulier, les 20 et 29 mai 2019, plusieurs articles de presse auraient évoqué les données provenant de ces téléphones. De même, le 19 mai 2020, un site Internet
aurait publié une sélection de documents relatifs au requérant et, en particulier, des transcriptions des communications intimes échangées entre celui-ci et une amie au moyen d’un service de messagerie cryptée et contenues dans lesdits téléphones. Cette sélection aurait été utilisée par la presse slovaque le 21 mai 2020.
22 Par courrier du 4 mai 2020, le requérant a réclamé à Europol, sur le fondement de l’article 50, paragraphe 1, du règlement 2016/794, le versement d’une indemnité d’un montant de 100000 euros en réparation du préjudice moral qu’il estime avoir subi, à un double titre, du fait de la violation du droit au respect de sa vie privée et familiale. Ce préjudice résulterait, d’une part, de la publication dans la presse et sur Internet de données à caractère personnel, en particulier de la publication des
transcriptions de ses communications à caractère intime et sexuel. D’autre part, ledit préjudice découlerait de l’inscription de son nom sur les « listes des mafieux », en raison prétendument du rapport d’Europol, dans la mesure où la presse s’en serait fait l’écho à la suite de fuites portant sur le dossier afférent à la procédure pénale nationale relative à l’assassinat du journaliste et de sa fiancée visés au point 13 du présent arrêt, dossier qui incluait ce rapport.
23 À la suite de l’enquête menée par les autorités slovaques, mentionnée au point 13 du présent arrêt, le requérant a été poursuivi pour complicité dans cet assassinat, en sa qualité de commanditaire.
24 Le 3 septembre 2020, en première instance, la juridiction slovaque compétente a acquitté le requérant. Le 15 juin 2021, le Najvyšší súd Slovenskej republiky (Cour suprême de la République slovaque) a annulé le jugement de première instance et a renvoyé l’affaire.
La procédure devant le Tribunal et l’arrêt attaqué
25 Par requête déposée au greffe du Tribunal le 18 août 2020, le requérant a introduit un recours fondé sur les articles 268 et 340 TFUE ainsi que sur l’article 50, paragraphe 1, du règlement 2016/794, aux fins d’être indemnisé des préjudices moraux qu’il estime avoir subis en raison des agissements d’Europol. Au titre du premier chef de conclusions, il a demandé une indemnité d’un montant de 50000 euros en réparation du préjudice qu’il aurait subi du fait de la divulgation de données à caractère
personnel provenant des téléphones portables en cause, données qui, par la suite, auraient été publiées sur Internet et reprises par la presse slovaque. Cette divulgation de données à caractère personnel aurait porté atteinte à son honneur et à sa réputation professionnelle, au droit au respect de sa vie privée et familiale ainsi qu’au droit au respect de ses communications, qui sont garantis par l’article 7 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »). Au
titre du second chef de conclusions, le requérant a demandé une indemnité d’un même montant en réparation du préjudice qu’il aurait subi du fait de l’inscription par Europol de son nom sur les « listes des mafieux ».
26 Par l’arrêt attaqué, tout d’abord, le Tribunal, après avoir examiné les fins de non-recevoir soulevées par Europol concernant le premier chef de conclusions du requérant, a considéré que ce chef de conclusions était recevable uniquement en ce que, par celui-ci, le requérant se prévalait d’un dommage moral né de la prétendue divulgation par Europol des transcriptions des conversations à caractère intime et sexuel entre lui-même et son amie, issues des téléphones portables en cause. À cet égard, le
Tribunal a considéré que, s’agissant de l’étendue du préjudice allégué, bien que le requérant reprochât à Europol d’avoir divulgué un volume important de données à caractère personnel issues de ces téléphones, seule la divulgation de ces transcriptions était soutenue par des preuves documentaires, contrairement à la divulgation alléguée de photographies « de nature hautement confidentielle », dont certaines dévoilant cette amie dévêtue.
27 Ensuite, sur le fond, le Tribunal a rejeté ce premier chef de conclusions ainsi circonscrit. En premier lieu, il a considéré, aux points 58 à 91 de l’arrêt attaqué, que le requérant n’avait pas rapporté « la preuve d’un lien de causalité suffisamment établi » entre le dommage allégué et un éventuel comportement d’Europol. En particulier, le requérant n’aurait pas démontré que la divulgation des données contenues dans les téléphones portables en cause ou des transcriptions des conversations
échangées entre le requérant et son amie était imputable à Europol.
28 En second lieu, aux points 92 à 95 de cet arrêt, le Tribunal a considéré que cette conclusion tirée de l’absence d’imputabilité à Europol de la divulgation des données en cause n’était infirmée ni par le considérant 57, ni par l’article 49, paragraphe 3, ni par l’article 50 du règlement 2016/794, dont se prévalait le requérant.
29 À cet égard, d’une part, le Tribunal a jugé, aux points 93 à 95 de l’arrêt attaqué, que l’article 49, paragraphe 3, et l’article 50, paragraphe 1, du règlement 2016/794 se limitaient à préciser que, en matière de responsabilité extracontractuelle et tout particulièrement de responsabilité résultant d’opérations de traitement illicite de données, Europol devait réparer tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions, conformément aux conditions fixées à
l’article 340 TFUE. Or, selon le Tribunal, ces conditions n’étaient pas réunies en l’espèce. D’autre part, le Tribunal a rappelé que, si, certes, le considérant 57 du règlement 2016/794 énonce, en substance, qu’Europol et l’État membre dans lequel s’est produit le dommage, né d’un traitement illicite de données effectué par cette agence ou par cet État membre, sont solidairement responsables de ce dommage, il y avait néanmoins lieu de constater que ce mécanisme de solidarité ne trouve ni son
expression ni son fondement dans les dispositions de ce règlement. En outre, il a souligné que, selon la jurisprudence de la Cour, le préambule d’un acte de l’Union n’a pas de valeur juridique contraignante et ne saurait être invoqué pour déroger aux dispositions mêmes de l’acte concerné. Ainsi, le Tribunal a considéré que« le considérant 57 du règlement 2016/794 ne saurait créer une responsabilité solidaire s’imposant à Europol en l’espèce ».
30 Par conséquent, le Tribunal a rejeté le premier chef de conclusions comme étant non fondé, en estimant qu’il n’était pas nécessaire d’examiner si les autres conditions d’engagement de la responsabilité non contractuelle de l’Union étaient réunies.
31 S’agissant du second chef de conclusions, portant sur la réparation du préjudice prétendument subi du fait de l’inscription par Europol du nom du requérant sur les « listes des mafieux », le Tribunal a constaté, aux points 102 et 105 de l’arrêt attaqué, qu’il n’était pas établi que ces listes auraient été élaborées et tenues par une institution de l’Union, au sens de l’article 340, deuxième alinéa, TFUE, en particulier par Europol, et que cette conclusion n’était remise en cause ni par le
considérant 57, ni par l’article 49, paragraphe 3, ni par l’article 50 du règlement 2016/794, et ce pour les mêmes motifs que ceux énoncés aux points 92 à 95 de l’arrêt attaqué et résumés au point 29 du présent arrêt.
32 Le Tribunal a, en outre, précisé, aux points 106 à 109 de l’arrêt attaqué, que, à supposer que le second chef de conclusions « doive être compris comme reprochant à Europol d’être à l’origine de l’évolution des qualificatifs utilisés par la presse slovaque à l’égard du requérant, en ce que ce dernier aurait été présenté, non plus comme un “entrepreneur controversé”, mais, désormais, comme “un mafieux” ou comme “une personne figurant sur les listes des mafieux” », ce chef de conclusions se
révélait également dépourvu de fondement. À cet égard, le Tribunal a notamment considéré que le requérant n’avait fourni aucun élément de preuve de nature à établir que les informations publiées dans la presse slovaque trouvaient leur origine dans le rapport d’Europol ni à établir à suffisance de droit un lien de causalité entre la fuite de ce rapport et le fait que la presse slovaque aurait modifié, à partir du début de l’année 2019, la façon dont elle qualifiait le requérant. La coïncidence
temporelle alléguée serait contredite par des éléments de preuve fournis tant par le requérant que par Europol, dont il découlait que, bien avant le début de l’année 2019, la presse slovaque présentait occasionnellement le requérant comme un « mafieux », ce qui exclurait que cette présentation puisse trouver son origine dans la fuite du dossier pénal national concernant le requérant et contenant ledit rapport.
33 Par conséquent, le Tribunal a rejeté comme étant non fondé le second chef de conclusions ainsi que le recours dans son ensemble.
La procédure devant la Cour et les conclusions des parties
34 Par acte déposé au greffe de la Cour le 8 décembre 2021, le requérant a formé un pourvoi contre l’arrêt attaqué.
35 Par son pourvoi, le requérant demande à la Cour :
– d’annuler l’arrêt attaqué ;
– de renvoyer l’affaire au Tribunal, et
– à ce que la décision quant aux dépens soit rendue dans le cadre de la procédure au principal.
36 Europol demande à la Cour :
– de rejeter le pourvoi et
– de condamner le requérant aux dépens.
37 Par décision du président de la Cour du 1er avril 2022, la République slovaque a été admise à intervenir au soutien des conclusions d’Europol.
Sur le pourvoi
38 À l’appui de son pourvoi, le requérant invoque six moyens. Les premier à quatrième moyens concernent le rejet du premier chef de conclusions, qui vise la réparation du préjudice moral qu’il aurait subi du fait de la divulgation au public de données à caractère personnel provenant des téléphones portables en cause. Les cinquième et sixième moyens concernent le rejet du second chef de conclusions, qui vise la réparation du préjudice moral qu’il aurait subi du fait de l’inscription de son nom sur
les « listes des mafieux ».
Sur la recevabilité des premier et cinquième moyens
Argumentation des parties
39 Europol fait valoir que les premier et cinquième moyens, tirés d’une erreur de droit que le Tribunal aurait commise en excluant la responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données, sont irrecevables en ce qu’ils porteraient sur un moyen présenté tardivement par le requérant devant le Tribunal, à savoir au stade de la réplique. Ce dernier aurait dû soulever d’office l’irrecevabilité de ce moyen.
40 Le requérant conclut au rejet de cette fin de non-recevoir.
Appréciation de la Cour
41 Il résulte de l’article 84, paragraphes 1 et 2, du règlement de procédure du Tribunal que doivent être déclarés irrecevables les moyens exposés pour la première fois au stade de la réplique et qui ne sont pas fondés sur des éléments de droit ou de fait révélés pendant la procédure. Toutefois, la Cour a déjà jugé à cet égard qu’un moyen ou un argument qui constitue l’ampliation d’un moyen énoncé antérieurement dans la requête doit être considéré comme recevable (voir, en ce sens, arrêt du 26 avril
2007, Alcon/OHMI, C‑412/05 P, EU:C:2007:252, points 38 à 40 et jurisprudence citée). Partant, un tel moyen ne peut être déclaré irrecevable pour cause de tardiveté.
42 En l’espèce, au point 58 de sa requête devant le Tribunal, le requérant a avancé que, au titre de la responsabilité solidaire prévue à l’article 49, paragraphe 3, et à l’article 50 du règlement 2016/794, et eu égard au considérant 57 de ce règlement, Europol devait être tenue pour responsable du préjudice qu’il a subi même si les actes dommageables ont été commis ensemble avec les autorités slovaques. Au point 24 de la réplique, le requérant a développé cette argumentation en faisant valoir que,
en vertu de ces dispositions et, en particulier, eu égard à ce considérant, Europol était en tout état de cause solidairement responsable avec l’État membre concerné du dommage causé du fait d’un traitement de données illicite.
43 Ce faisant, le requérant a expressément invoqué, dans sa requête, l’existence d’un mécanisme de responsabilité solidaire d’Europol fondé sur les articles 49 et 50 du règlement 2016/794, lus à la lumière de son considérant 57, si bien que le Tribunal s’est, à juste titre, estimé saisi, par cette requête, de la question de cette responsabilité solidaire dans le contexte de la présente affaire. Le point 24 de la réplique doit donc être considéré comme une ampliation de l’argumentation énoncée dans
la requête à cet égard.
44 Dans ces circonstances, c’est à bon droit que le Tribunal a procédé à l’analyse des dispositions ainsi que du considérant invoqués par le requérant dans le cadre de cette argumentation.
45 Par conséquent, la fin de non-recevoir soulevée par Europol doit être rejetée.
Sur le premier moyen
Argumentation des parties
46 Par son premier moyen, le requérant reproche au Tribunal d’avoir commis une erreur de droit en décidant, aux points 94 et 95 de l’arrêt attaqué, de ne pas tenir compte du considérant 57 du règlement 2016/794 aux fins de déterminer la responsabilité d’Europol fondée sur l’article 50, paragraphe 1, de ce règlement, au motif que le préambule d’un règlement n’a pas de valeur juridique contraignante. Il s’ensuivrait que le Tribunal a rejeté à tort le premier chef de conclusions en jugeant que ce
considérant ne saurait créer une responsabilité solidaire d’Europol en raison d’un traitement de données illicite par cette agence ou par l’État membre concerné.
47 À cet égard, le requérant allègue, en substance, que le Tribunal a considéré que le dommage devait être supporté par celui à qui il est imputable, à savoir soit Europol, soit l’État membre concerné, alors qu’il découlerait de l’article 49, paragraphe 3, et de l’article 50 du règlement 2016/794, lus à la lumière de son considérant 57 et des objectifs poursuivis par celui-ci, que ce règlement établit une responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage né
d’un traitement de données illicite effectué par cette agence ou par cet État membre.
48 Europol, soutenue par la République slovaque, fait valoir que le premier moyen n’est pas fondé.
49 Cette agence allègue que l’engagement de la responsabilité de l’Union au titre de l’article 340 TFUE est subordonné à la réunion d’un ensemble de conditions, dont l’illégalité du comportement reproché à l’institution de l’Union concernée. Elle soutient également que, en l’absence d’un comportement illégal d’une de ses institutions, l’Union ne saurait voir sa responsabilité engagée et que les dommages causés par les États membres ne sauraient engager cette responsabilité. Par ailleurs, dans les
situations dans lesquelles les autorités de l’Union et celles des États membres interagissent, la Cour aurait précisé, notamment, que, en cas de dommage causé conjointement par l’Union et par un État membre, le juge de l’Union ne peut statuer sur le préjudice qu’après que le juge national a pris une décision à cet égard. Une responsabilité solidaire de l’Union et de l’État membre concerné lorsque l’une et l’autre agissent conjointement ne serait pas reconnue, en principe, dans le cadre de
l’article 340, deuxième alinéa, TFUE, mais nécessiterait une mention explicite en ce sens de la part du législateur de l’Union.
50 En outre, l’article 50 du règlement 2016/794 ne serait pas applicable au traitement de données en cause en l’espèce, dans la mesure où il s’appliquerait exclusivement aux traitements de données effectués dans le cadre des opérations et des missions d’Europol. Étant donné que les faits dommageables allégués seraient survenus lors de la conservation du dossier d’enquête national, ils ne constitueraient pas des « opérations de traitement de données illicites », au sens de cet article, relevant du
champ d’application de ce règlement.
51 Par ailleurs, l’article 50, paragraphe 1, du règlement 2016/794 ne prévoirait pas expressément une responsabilité solidaire d’Europol et de l’État membre concerné. En effet, aux termes de cette disposition, Europol serait uniquement responsable « conformément à l’article 340 [TFUE] », ce qui signifierait que cette responsabilité ne peut être engagée que lorsque les trois conditions découlant de cette disposition sont remplies. En conséquence, même si cet article 50, paragraphe 1, était applicable
en l’espèce, la responsabilité d’Europol ne pourrait être engagée en l’absence de tout comportement illégal de sa part et d’un lien de causalité entre un tel comportement et le dommage subi. De surcroît, l’Union ne pourrait être tenue de réparer des dommages résultant de l’action d’un État membre en vertu dudit article 50, paragraphe 1, lequel ne trouverait à s’appliquer qu’aux dommages causés conjointement par l’Union et par un État membre, ainsi que cela serait confirmé par le libellé de
l’article 50, paragraphe 2, de ce règlement.
52 Selon Europol, il ne saurait être inféré du considérant 57 du règlement 2016/794 qu’il en soit autrement. La notion de « responsabilité solidaire » mentionnée à ce considérant supposerait que plus d’une entité est responsable d’un même préjudice, et non qu’Europol pourrait, en l’absence de tout comportement illégal de sa part, être tenue pour responsable de l’action d’un État membre. L’interprétation dudit considérant par le requérant serait en contradiction avec la portée de ce règlement et le
libellé de l’article 50 de celui-ci. Or, le préambule d’un acte de l’Union n’ayant pas de valeur juridique contraignante, il ne pourrait être invoqué pour s’écarter du libellé clair d’une disposition.
Appréciation de la Cour
53 Il convient d’examiner, dans un premier temps, si l’article 50, paragraphe 1, du règlement 2016/794 instaure un régime de responsabilité solidaire d’Europol et de l’État membre concerné en cas de traitement de données illicite. Dans l’affirmative, il conviendra de déterminer, dans un second temps, quelles sont les conditions de l’engagement de cette responsabilité.
– Nature du régime de responsabilité au titre de l’article 50, paragraphe 1, du règlement 2016/794
54 Aux fins de l’interprétation de l’article 50, paragraphe 1, du règlement 2016/794, en particulier en vue de déterminer la nature du régime de responsabilité qui y est consacré, il y a lieu, conformément à une jurisprudence constante de la Cour, de tenir compte non seulement des termes de celle-ci, mais également du contexte dans lequel elle s’inscrit et des objectifs poursuivis par la réglementation dont elle fait partie (voir, en ce sens, arrêt du 3 juin 2021, TEAM POWER EUROPE, C‑784/19,
EU:C:2021:427, point 43 et jurisprudence citée).
55 S’agissant des termes de l’article 50, paragraphe 1, du règlement 2016/794, celui-ci énonce que la personne lésée du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi « soit d’Europol [...], soit de l’État membre où le fait dommageable s’est produit [...] ». Ainsi que M. l’avocat général l’a relevé au point 38 de ses conclusions, ces termes ne sont pas univoques quant à la nature de la responsabilité visée. Ils peuvent, en effet, indiquer que
la personne physique lésée doit s’adresser soit à Europol en cas de dommage imputable en tout ou en partie à celle-ci, soit à l’État membre concerné en cas de dommage imputable en tout ou en partie à celui-ci. Toutefois, en ce qu’il peut également découler desdits termes que la personne lésée peut s’adresser indifféremment à chacune des entités – donc soit à Europol, soit à l’État membre concerné – en vue de la réparation de l’intégralité du préjudice subi du fait d’un traitement de données
illicite survenu dans le cadre d’une coopération entre Europol et cet État membre, ces mêmes termes n’excluent pas que ladite disposition puisse instaurer à cet égard une responsabilité solidaire desdites entités.
56 Il convient donc d’examiner si, au regard de l’objectif poursuivi par l’article 50, paragraphe 1, du règlement 2016/794 et de son contexte, cette disposition crée un régime de responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement de données illicite survenu dans le cadre d’une coopération entre Europol et cet État membre au titre de ce règlement.
57 Selon le considérant 57 du règlement 2016/794, qui exprime cet objectif, « [i]l peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre [et il] convient, par conséquent, qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables ».
58 Il en ressort que, prenant en considération la situation dans laquelle une personne physique lésée par un traitement de données illicite ne pourrait pas déterminer si son préjudice est imputable à l’action d’Europol ou à celle d’un État membre avec lequel celle-ci a coopéré, le législateur de l’Union a instauré un régime de responsabilité solidaire entre Europol et l’État membre dans lequel le fait dommageable s’est produit en vue d’assurer une protection complète à cette personne physique dans
l’hypothèse où elle se trouverait dans une telle situation.
59 À cet égard, il convient de rappeler que, tout en n’ayant pas une valeur juridique contraignante, un considérant d’un acte de l’Union possède une valeur interprétative importante, en ce qu’il est susceptible de préciser le contenu d’une disposition de l’acte concerné et d’éclairer la volonté de l’auteur de cet acte (voir, en ce sens, arrêt du 13 juillet 2023, Commission/CK Telecoms UK Investments, C‑376/20 P, EU:C:2023:561, points 104 et 105 ainsi que jurisprudence citée).
60 Certes, le considérant d’un acte de l’Union ne saurait être invoqué pour déroger aux dispositions mêmes de l’acte concerné ou pour interpréter ces dispositions dans un sens manifestement contraire à leur libellé (voir, en ce sens, arrêts du 19 juin 2014, Karen Millen Fashions, C‑345/13, EU:C:2014:2013, point 31 et jurisprudence citée, ainsi que du 16 février 2022, Hongrie/Parlement et Conseil, C‑156/21, EU:C:2022:97, point 191).
61 Toutefois, en l’occurrence, le considérant 57 du règlement 2016/794 ne contredit aucunement les termes de l’article 50, paragraphe 1, de ce règlement. En effet, ainsi qu’il a été relevé au point 55 du présent arrêt, ces termes se prêtent, notamment, à une interprétation selon laquelle cette disposition instaure un régime de responsabilité solidaire d’Europol et de l’État membre concerné en faveur de la personne physique lésée par un traitement de données illicite survenu dans le cadre d’une
coopération entre eux.
62 Il ressort de ces éléments d’analyse que l’article 50, paragraphe 1, du règlement 2016/794, lu à la lumière du considérant 57 de ce règlement, crée, conformément à la volonté du législateur de l’Union de favoriser la personne physique lésée, un régime de responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un tel traitement.
63 Cette interprétation est corroborée par le contexte dans lequel s’inscrit cette disposition, en particulier par l’article 49 et l’article 50, paragraphe 2, du règlement 2016/794.
64 En effet, d’une part, l’article 49 du règlement 2016/794 établit, selon son intitulé, des dispositions générales en matière de responsabilité et de droit à réparation. En revanche, il ressort de l’intitulé de l’article 50 de ce règlement que cet article concerne spécifiquement la responsabilité du fait d’un traitement incorrect de données et le droit à réparation qui en découle. Le caractère dérogatoire dudit article 50 par rapport aux principes généraux de la responsabilité extracontractuelle de
l’Union est souligné, en particulier, par l’article 49, paragraphe 3, dudit règlement, lu à la lumière de son considérant 56.
65 En vertu de cette dernière disposition, en matière de responsabilité extracontractuelle, Europol répare, conformément aux principes généraux communs aux droits des États membres, tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions. Cette règle est toutefois énoncée « sans préjudice de l’article 49 » du règlement 2016/794.
66 À cet égard, il y a lieu d’observer que la référence à « l’article 49 », mentionnée dans le libellé de l’article 49, paragraphe 3, de ce règlement, constitue une erreur rédactionnelle manifeste. En effet, cette référence serait dépourvue de sens si elle renvoyait à l’article dont elle fait partie. Partant, et étant donné que l’article 50 du même règlement établit un régime dérogatoire par rapport aux règles générales de responsabilité extracontractuelle de l’Union visées audit article 49,
paragraphe 3, cette dernière disposition doit être lue, s’agissant de sa partie initiale comprenant les termes « sans préjudice », comme visant cet article 50.
67 Le considérant 56 du règlement 2016/794 corrobore l’interprétation retenue au point précédent en énonçant qu’« il convient qu’Europol soit soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, aux agences et aux organes de l’Union, à l’exception des règles relatives à la responsabilité pour traitement illicite de données ».
68 Il en découle que l’article 50 du règlement 2016/794 vise à instaurer un régime particulier de responsabilité extracontractuelle en ce qui concerne les opérations de traitement de données illicite, qui déroge au régime général de responsabilité prévu par ce règlement.
69 D’autre part, il ressort de l’article 50, paragraphe 2, du règlement 2016/794 que la mise en cause, devant la Cour de justice de l’Union européenne ou devant la juridiction nationale compétente, de la responsabilité d’Europol ou de l’État membre concerné du fait d’un traitement de données illicite survenu dans le cadre d’une coopération entre eux ne constitue que la première des deux étapes du mécanisme de responsabilité prévu à l’article 50 de ce règlement. En effet, selon l’article 50,
paragraphe 2, de celui-ci, la seconde étape de ce mécanisme consiste à déterminer la « responsabilité ultime » d’Europol et/ou de l’État membre concerné en matière de réparation accordée à une personne physique conformément à l’article 50, paragraphe 1, de ce règlement, le conseil d’administration d’Europol pouvant être saisi de tout litige entre Europol et les États membres à cet égard, sans préjudice du droit de former un recours contre sa décision devant la Cour de justice de l’Union
européenne conformément à l’article 263 TFUE.
70 Or, la possibilité prévue à l’article 50, paragraphe 2, du règlement 2016/794 de faire déterminer par le conseil d’administration d’Europol, dans le cadre de cette seconde étape, la « responsabilité ultime » incombant à l’entité à laquelle le comportement illégal à l’origine du préjudice est imputable, voire la part de responsabilité incombant à chacune des entités en cas de concours de comportements illégaux, n’aurait pas de raison d’être en l’absence de responsabilité solidaire de ces entités.
71 Eu égard à ce qui précède, il y a lieu de considérer que l’article 50 du règlement 2016/794, lu à la lumière de l’article 49, paragraphe 3, et des considérants 56 et 57 de ce règlement, instaure un régime de responsabilité solidaire d’Europol et de l’État membre dans lequel s’est produit le dommage né d’un traitement de données illicite survenu dans le cadre d’une coopération entre eux au titre dudit règlement.
72 Ainsi que M. l’avocat général l’a relevé au point 51 de ses conclusions, ce régime de responsabilité solidaire n’est pas étranger au droit de l’Union en matière de traitement des données. Ainsi, l’article 82, paragraphe 4, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement
général sur la protection des données) (JO 2016, L 119, p. 1), prévoit une telle responsabilité en cas de pluralité de responsables du traitement de données.
– Conditions d’engagement de la responsabilité au titre de l’article 50, paragraphe 1, du règlement 2016/794
73 Conformément aux conditions découlant de l’article 340 TFUE, auquel l’article 50, paragraphe 1, du règlement 2016/794 fait référence dans le cas où la personne lésée introduit un recours contre Europol, la responsabilité extracontractuelle de l’Union au titre de cet article 340 suppose la réunion d’un ensemble de conditions, à savoir l’illégalité du comportement reproché à l’institution, à l’organe ou à l’organisme de l’Union concerné, la réalité du dommage et l’existence d’un lien de causalité
entre ce comportement et le préjudice invoqué (voir, en ce sens, arrêt du 16 décembre 2020, Conseil/K. Chrysostomides & Co. e.a., C‑597/18 P, C‑598/18 P, C‑603/18 P et C‑604/18 P, EU:C:2020:1028, points 79 et 80 ainsi que jurisprudence citée).
74 Dans le contexte spécifique du règlement 2016/794, il ressort des termes de l’article 50, paragraphe 1, de ce règlement que la personne physique qui entend faire valoir son droit à réparation, sur le fondement de cette disposition, à l’égard soit d’Europol, soit de l’État membre qu’elle met en cause, doit établir l’existence d’une « opération de traitement de données illicite », celle d’un « dommage » et celle d’un lien causal entre cette opération et ce dommage. Ainsi, au regard de la première
des conditions rappelées au point précédent, cette personne doit uniquement établir qu’un traitement de données illicite est survenu dans le cadre d’une coopération ayant impliqué Europol et un État membre au titre dudit règlement.
75 Ainsi qu’il a été relevé aux points 57 et 58 du présent arrêt, l’objectif poursuivi par l’article 50, paragraphe 1, du règlement 2016/794 consiste, aux termes du considérant 57 de ce règlement, à répondre aux difficultés auxquelles peut être exposée la personne physique concernée pour déterminer si le dommage subi du fait d’un traitement de données illicite survenu dans le cadre d’une telle coopération est la conséquence d’une action d’Europol ou de l’État membre concerné.
76 Or, sous peine de vider de son effet utile ledit article 50, paragraphe 1, lu à la lumière de ce considérant 57, il ne saurait être exigé de cette personne qu’elle établisse à qui, d’Europol ou de l’État membre concerné, ce dommage est imputable ou qu’elle assigne en justice ces deux entités aux fins d’obtenir la réparation intégrale de son dommage.
77 À ce dernier égard, il convient de relever que l’article 50, paragraphe 1, du règlement 2016/794 ne prévoit pas que la personne physique concernée puisse assigner les deux entités potentiellement responsables du traitement de données illicite devant la même juridiction, cette disposition obligeant cette personne à former un recours contre Europol devant la Cour de justice de l’Union européenne ou un recours contre l’État membre devant une juridiction compétente de celui-ci.
78 Partant, tout d’abord, bien que l’État membre concerné et Europol aient la possibilité d’intervenir respectivement devant le Tribunal ou devant une juridiction de cet État membre, il ne peut être exclu que cette personne soit contrainte de mener son action en l’absence de l’une de ces entités. Ensuite, en toute hypothèse, si les deux entités sont présentes à la procédure devant la juridiction saisie, il résulte du point précédent que seule la responsabilité de l’une d’entre elles peut être
recherchée dans le cadre de la procédure en cours, ce qui est susceptible de nuire à l’établissement des faits. Enfin, des actions menées par la personne concernée respectivement contre Europol devant le Tribunal et contre l’État membre concerné devant les juridictions de cet État membre risqueraient d’aboutir à un même constat, de la part de ces deux juridictions, d’absence de responsabilité de chacune de ces entités défenderesses, à défaut pour cette personne d’avoir établi à suffisance de
droit l’imputabilité du dommage allégué à ces dernières.
79 Or, c’est précisément pour tenir compte de ces difficultés probatoires que le législateur de l’Union a prévu, à l’article 50 du règlement 2016/794, pour la réparation des dommages causés par un traitement de données illicite, un mécanisme de responsabilité en deux étapes qui, d’une part, dispense la personne physique concernée de la charge d’établir l’identité de l’entité dont le comportement est à l’origine du dommage allégué et, d’autre part, prévoit que, après désintéressement de cette
personne, la « responsabilité ultime » de ce dommage doit, le cas échéant, être définitivement tranchée dans le cadre d’une procédure n’impliquant plus qu’Europol et l’État membre concerné devant le conseil d’administration d’Europol.
80 Il s’ensuit que l’article 50, paragraphe 1, du règlement 2016/794, lu à la lumière du considérant 57 de ce règlement, doit être interprété en ce sens qu’il n’impose pas à la personne physique concernée ayant prouvé l’existence d’un traitement de données illicite survenu dans le cadre d’une coopération entre Europol et un État membre au titre dudit règlement la charge d’identifier laquelle des entités impliquées dans cette coopération a adopté le comportement constitutif de ce traitement illicite.
81 Il suffit, pour engager la responsabilité solidaire d’Europol ou de l’État membre concerné et aux fins de permettre à la personne physique concernée d’obtenir la réparation intégrale de son préjudice soit devant le juge de l’Union, soit devant le juge national, au titre de l’article 50, paragraphe 1, du règlement 2016/794, que cette personne démontre que, à l’occasion d’une coopération entre Europol et l’État membre concerné au titre de ce règlement, un traitement de données illicite qui lui a
causé un préjudice a été effectué, sans qu’il soit requis qu’elle établisse en outre à laquelle de ces deux entités ce traitement illicite est imputable.
82 Cela étant, il reste loisible à l’entité défenderesse d’établir par toutes voies de droit qu’il est exclu que le dommage allégué soit en relation avec un prétendu traitement de données illicite survenu dans le cadre d’une telle coopération. Tel serait par exemple le cas si cette entité établissait que ce dommage trouve son origine dans des faits antérieurs à la coopération engagée au titre du règlement 2016/794.
83 Il découle de tout ce qui précède que, en rejetant, au point 91 de l’arrêt attaqué, le premier chef de conclusions du requérant au motif que celui-ci n’avait pas établi l’imputabilité à Europol de la divulgation de données à caractère personnel le concernant et n’avait, dès lors, « pas rapporté la preuve d’un lien de causalité suffisamment établi entre le dommage allégué dans le cadre de [ce chef de conclusions] et un éventuel comportement d’Europol », et en considérant, aux points 92 à 95 de
l’arrêt attaqué, que ce rejet n’était pas remis en cause par le considérant 57, l’article 49, paragraphe 3, et l’article 50 du règlement 2016/794, le Tribunal a commis une erreur de droit en ce qu’il a considéré, à tort, que l’article 50, paragraphe 1, de ce règlement, lu à la lumière du considérant 57 de ce dernier, ne dispensait pas la personne physique concernée d’établir à laquelle des deux entités impliquées le traitement de données illicite est imputable.
84 Il s’ensuit que le premier moyen est fondé.
85 Cette erreur de droit entache, dans son intégralité, le rejet, par le Tribunal, du premier chef de conclusions, tel qu’il a été circonscrit au point 49 de l’arrêt attaqué, cette limitation n’ayant pas été contestée dans le cadre du pourvoi.
86 Par conséquent, il convient d’accueillir le premier moyen du pourvoi et d’annuler l’arrêt attaqué en tant que le Tribunal a rejeté comme étant non fondé ce premier chef de conclusions ainsi circonscrit.
Sur les deuxième à quatrième moyens
87 Les deuxième à quatrième moyens du pourvoi concernent, comme le premier moyen, le rejet du premier chef de conclusions, lequel vise la réparation du préjudice moral que le requérant aurait subi du fait de la divulgation au public de données à caractère personnel provenant des téléphones portables en cause.
88 L’examen des deuxième à quatrième moyens ne pouvant aboutir à une annulation plus étendue de l’arrêt attaqué que celle résultant de l’accueil du premier moyen, il n’y a pas lieu de les examiner.
Sur le sixième moyen
Argumentation des parties
89 Le sixième moyen, qu’il convient d’examiner avant le cinquième, comporte deux branches et vise les points 102 et 106 à 111 de l’arrêt attaqué.
90 Par la première branche du sixième moyen, le requérant reproche au Tribunal d’avoir conclu erronément, à ces points de l’arrêt attaqué, à l’absence de lien de causalité entre le comportement illégal allégué dans le cadre du second chef de conclusions, à savoir l’inscription par Europol de son nom sur les « listes des mafieux » ou l’établissement par Europol d’un lien entre lui et ces listes, et le dommage qu’il prétend avoir subi du fait de cette inscription ou de l’établissement de ce lien.
91 À l’appui de cette première branche, le requérant soutient qu’Europol n’a pas motivé l’établissement d’un tel lien entre lui et les « listes des mafieux » et que, par l’établissement de ce lien, cette agence a violé le principe de proportionnalité en outrepassant sa mission consistant seulement à analyser le support de stockage USB en cause.
92 En outre, dès lors que le rapport d’Europol faisait partie du dossier pénal national concernant le requérant et que des informations contenues dans ce dossier ont fuité, il y aurait lieu de conclure à l’existence d’un lien causal entre le comportement illégal d’Europol et le préjudice subi par le requérant. Le fait qu’aucun des articles de presse en cause ne mentionne ce rapport, comme l’indiquerait le Tribunal au point 107 de l’arrêt attaqué, ne remettrait pas en cause l’existence de ce lien de
causalité.
93 Le requérant soutient, par ailleurs, qu’Europol est la seule à avoir établi, dans ledit rapport, ce lien entre lui et les « listes des mafieux », alors que ni le droit national ni le droit de l’Union ne prévoient la possibilité d’élaborer et de tenir de telles listes. À cet égard, il ne pourrait être tenu compte des médias slovaques, d’après lesquels les « listes des mafieux » auraient été tenues par les services de police slovaques. Par ailleurs, en s’appuyant, pour établir ledit lien, sur des
sources publiquement accessibles, Europol aurait violé les obligations lui incombant en vertu de l’article 29, paragraphe 6, du règlement 2016/794. Selon le requérant, il conviendrait de déduire du fait que le rapport d’Europol n’indique pas que celle-ci aurait trouvé l’information relative au lien entre le requérant et les « listes des mafieux » dans les médias ainsi que du fait que cette information figure expressément dans ce rapport qu’Europol a établi ce lien, lequel ne ressortirait pas de
la « presse à sensation ».
94 La seconde branche de ce moyen est tirée d’une dénaturation des éléments de preuve. Le requérant soutient que la constatation du Tribunal figurant aux points 108 et 109 de l’arrêt attaqué, selon laquelle il découlerait des articles de presse produits dans le cadre de la procédure devant lui que le requérant a été qualifié de « mafieux » avant même la rédaction du rapport d’Europol, est erronée. Le titre de l’article de presse, paru le 28 février 2012, qui présente le requérant comme « [l]e
mafieux qui n’existe pas », serait la preuve que celui-ci n’avait aucun lien avec les « listes des mafieux ».
95 Europol et la République slovaque concluent au rejet du sixième moyen.
Appréciation de la Cour
96 S’agissant de la seconde branche du sixième moyen, qu’il convient d’examiner en premier lieu, il y a lieu de rappeler que, selon une jurisprudence bien établie, une dénaturation des éléments de preuve existe notamment lorsque le Tribunal a manifestement outrepassé les limites d’une appréciation raisonnable de ces éléments. La dénaturation doit ressortir de façon manifeste des pièces du dossier, sans qu’il soit nécessaire de procéder à une nouvelle appréciation des faits et des preuves. À cet
égard, il ne suffit pas de démontrer qu’un document pourrait faire l’objet d’une interprétation différente de celle retenue par le Tribunal (voir, en ce sens, arrêt du 16 février 2023, Commission/Italie et Espagne, C‑635/20 P, EU:C:2023:98, point 127 ainsi que jurisprudence citée).
97 En l’occurrence, au point 108 de l’arrêt attaqué, le Tribunal a constaté que « la coïncidence temporelle alléguée par le requérant est contredite par les éléments de preuve fournis par le requérant lui-même ainsi que par Europol ». À cet égard, il a relevé, au même point, que « le requérant renvo[yait], dans la requête, à un article de presse publié le 28 février 2012, qui est intitulé “Marián Kočner. Le mafieux qui n’existe pas”, et aux termes duquel “[s]ur les listes dites ‘des mafieux’, qui
ont fui[té] de la police en 2005, l’entrepreneur Marián Kočner apparaît dans la rubrique ‘véhicules motorisés présentant un intérêt’ ” » et qu’« Europol se réf[érait] à des articles de presse publiés le 21 juin 2005 et le 9 juillet 2017 faisant également référence à d’éventuelles implications mafieuses du requérant ».
98 Ainsi, il apparaît que le Tribunal a fondé sa conclusion selon laquelle le requérant avait été qualifié de « mafieux » avant même la rédaction du rapport d’Europol sur un ensemble d’articles de presse portant sur le requérant, et non pas sur le seul article, datant de l’année 2012, fourni par ce dernier et qui, selon lui, le dissociait des « listes des mafieux ». En procédant ainsi, contrairement à ce que considère le requérant, le Tribunal n’a pas outrepassé les limites d’une appréciation
raisonnable de ces éléments, pris dans leur ensemble, ni dénaturé ledit article de presse invoqué par le requérant en faisant de celui-ci une lecture inconciliable avec son libellé.
99 Par conséquent, la seconde branche du sixième moyen doit être rejetée comme étant non fondée.
100 En ce qui concerne la première branche de ce moyen, il y a lieu de rappeler que, en matière de responsabilité non contractuelle de l’Union, la question de l’existence d’un lien de causalité entre le fait générateur et le dommage, condition de l’engagement de cette responsabilité, constitue une question de droit qui est, par conséquent, soumise au contrôle de la Cour (arrêt du 16 juillet 2009, Commission/Schneider Electric, C‑440/07 P, EU:C:2009:459, point 192, et ordonnance du 3 septembre 2019,
FV/Conseil, C‑188/19 P, EU:C:2019:690, point 36). Ce contrôle ne peut, cependant, pas consister, pour la Cour, à remettre en cause les constats et les appréciations factuelles opérés par le Tribunal (voir, en ce sens, arrêt du 16 juillet 2009, Commission/Schneider Electric, C‑440/07 P, EU:C:2009:459, point 193).
101 Or, force est de constater que, par cette première branche, le requérant vise, en réalité, à remettre en cause certaines appréciations factuelles que le Tribunal a effectuées au vu des preuves produites devant lui. Il s’agit, premièrement, de l’appréciation figurant au point 102 de l’arrêt attaqué, selon laquelle le requérant n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux », sur lesquelles son nom aurait été inscrit, auraient été élaborées et tenues par
Europol. Deuxièmement, le requérant remet également en cause l’appréciation du Tribunal selon laquelle il n’existe pas de lien causal entre le comportement prétendument illégal d’Europol et le préjudice allégué, en ce que le Tribunal a constaté, d’une part, au point 107 de l’arrêt attaqué, que le requérant n’avait fourni aucune preuve de ce que les informations publiées à cet égard trouvaient leur origine dans le rapport d’Europol et, d’autre part, aux points 108 et 109 de cet arrêt, que, bien
avant le début de l’année 2019, la presse slovaque présentait déjà le requérant comme étant un mafieux. Or, dès lors que, par la présente branche, le requérant n’invoque pas une dénaturation des éléments de preuve, lesdites appréciations échappent au contrôle de la Cour.
102 Par conséquent, la première branche du sixième moyen est irrecevable.
103 Il s’ensuit que ce moyen doit être rejeté comme étant, en partie, irrecevable et, en partie, non fondé.
Sur le cinquième moyen
104 Par son cinquième moyen, fondé sur la même argumentation que celle avancée au soutien du premier moyen, le requérant reproche au Tribunal d’avoir commis une erreur de droit en décidant, au point 105 de l’arrêt attaqué, de ne pas tenir compte du considérant 57 du règlement 2016/794 aux fins de déterminer la responsabilité d’Europol, au motif que le préambule d’un règlement n’a pas de valeur juridique contraignante. Il s’ensuivrait que le Tribunal a rejeté à tort le second chef de conclusions,
visant à obtenir la réparation du préjudice que le requérant estime avoir subi du fait de l’inscription prétendue, par Europol, de son nom sur les « listes des mafieux », en jugeant qu’aucun mécanisme de responsabilité solidaire ne trouve son expression ou son fondement dans les dispositions de ce règlement en cas de traitement de données illicite effectué par Europol ou par l’État membre concerné.
105 Europol, soutenue par la République slovaque, conclut au rejet du cinquième moyen en invoquant les mêmes arguments que ceux mentionnés aux points 49 à 52 du présent arrêt, en réponse à l’argumentation avancée par le requérant dans le cadre du premier moyen.
106 À cet égard, il convient de relever que, pour rejeter le second chef de conclusions, visant à obtenir la réparation du préjudice que le requérant estime avoir subi du fait de l’inscription par Europol de son nom sur les « listes des mafieux », le Tribunal – qui est seul compétent pour constater et apprécier les faits et pour examiner les preuves qu’il retient à l’appui de ces faits – s’est fondé sur plusieurs éléments. Ainsi, il a constaté, d’une part, au point 102 de l’arrêt attaqué, lequel est
visé par le sixième moyen du pourvoi qui a été rejeté, que le requérant n’avait pas établi que les « listes des mafieux » sur lesquelles son nom aurait été inscrit auraient été élaborées et tenues par Europol. D’autre part, aux points 108 et 109 de cet arrêt, également visés par le sixième moyen du pourvoi qui a été rejeté, le Tribunal a considéré que la coïncidence temporelle alléguée par le requérant entre le rapport d’Europol et l’évolution des qualificatifs utilisés dans l’évocation du
requérant par la presse slovaque, qui aurait, après la fuite du dossier pénal national le concernant, présenté ce dernier comme un « mafieux » ou comme « une personne figurant sur les listes des mafieux », était contredite par les éléments de preuve fournis tant par le requérant que par Europol, par référence à des articles de presse publiés en 2005, en 2012 et en 2017. À cet égard, le Tribunal a, en outre, constaté au point 109 de l’arrêt attaqué que, « bien avant le début de l’année 2019, la
presse slovaque présentait le requérant déjà comme étant “un mafieux”, et non seulement comme un “entrepreneur controversé” », et a exclu, sur la base de ces éléments de preuve, que « cette présentation du requérant puisse trouver son origine dans la fuite du dossier pénal [national concernant celui-ci], [lequel contenait] le rapport d’Europol ».
107 Ainsi, il ressort, en particulier, des constats opérés aux points 108 et 109 de l’arrêt attaqué que, le rapport d’Europol étant postérieur et, de ce seul fait, étranger au fait dommageable allégué par le requérant dans le cadre du second chef de conclusions, il est exclu que le préjudice dont se prévaut le requérant puisse être lié à un éventuel traitement de données illicite intervenu dans le cadre de la coopération entre Europol et les autorités slovaques. Or, ainsi qu’il a été relevé aux
points 96 à 102 du présent arrêt, le requérant n’a pas démontré, dans le cadre du sixième moyen, que le Tribunal a commis, en ce qui concerne ces constats, une dénaturation des éléments de preuve ou une erreur de droit.
108 Par conséquent, l’exigence, énoncée au point 81 du présent arrêt, qui est requise pour l’engagement de la responsabilité solidaire d’Europol sur le fondement de l’article 50, paragraphe 1, du règlement 2016/794 fait, en l’occurrence, défaut, de sorte que cette responsabilité ne saurait, en tout état de cause, être engagée au titre du second chef de conclusions.
109 Il s’ensuit que, nonobstant l’erreur de droit que le Tribunal a commise en écartant, au point 105 de l’arrêt attaqué et pour les motifs exposés aux points 92 à 95 de ce dernier, le principe même d’une responsabilité solidaire d’Europol dans le contexte de ce règlement, le cinquième moyen doit être rejeté comme étant inopérant.
110 Les cinquième et sixième moyens étant rejetés, il s’ensuit que le pourvoi doit être rejeté pour autant qu’il concerne le second chef de conclusions.
Sur le recours devant le Tribunal
111 Conformément à l’article 61, premier alinéa, seconde phrase, du statut de la Cour de justice de l’Union européenne, en cas d’annulation de la décision du Tribunal, la Cour peut statuer elle-même définitivement sur le litige, lorsque celui-ci est en état d’être jugé.
112 En l’espèce, au vu notamment de la circonstance que le recours du requérant devant le Tribunal est fondé sur des moyens ayant fait l’objet d’un débat contradictoire devant ce dernier et dont l’examen ne nécessite d’adopter aucune mesure supplémentaire d’organisation de la procédure ou d’instruction du dossier, la Cour estime que ce recours est en état d’être jugé et qu’il y a lieu de statuer définitivement sur celui-ci dans la limite du litige dont elle reste saisie (voir, par analogie, arrêt du
4 mars 2021, Commission/Fútbol Club Barcelona, C‑362/19 P, EU:C:2021:169, point 108 et jurisprudence citée).
113 Eu égard à l’annulation partielle de l’arrêt attaqué, il y a lieu de statuer uniquement sur le premier chef de conclusions formulé devant le Tribunal, tel que circonscrit au point 49 de cet arrêt.
114 Le requérant réclame, sur le fondement des articles 268 et 340 TFUE ainsi que de l’article 50, paragraphe 1, du règlement 2016/794, le versement d’une somme d’un montant de 50000 euros en réparation du préjudice qu’il estime avoir subi du fait de la divulgation au public de données à caractère personnel provenant des téléphones portables en cause, qui auraient été mises à disposition du public sur Internet et reprises par la presse slovaque. Cette divulgation de données à caractère personnel, du
fait de leur publication, aurait porté atteinte à son honneur et à sa réputation professionnelle de même qu’au droit au respect de sa vie privée et familiale ainsi qu’au droit au respect de ses communications, qui sont garantis par l’article 7 de la Charte.
115 À cet égard, le requérant, s’appuyant sur le considérant 57 du règlement 2016/794, fait valoir qu’Europol peut être tenue pour solidairement responsable sur le fondement de l’article 50, paragraphe 1, de ce règlement si le dommage qu’il prétend avoir subi du fait d’un traitement de données illicite est la conséquence de l’action d’Europol ou d’un État membre.
116 Europol soutient qu’il n’est pas établi qu’elle a effectué un traitement de données illicite, dès lors qu’il ne serait pas démontré que la fuite de données relatives au requérant émanait d’elle. En tout état de cause, toute fuite d’informations, même si elle était établie, n’engagerait pas automatiquement sa responsabilité non contractuelle. Europol fait en effet valoir que, selon la jurisprudence de la Cour, la responsabilité non contractuelle des organes de l’Union ne peut être engagée qu’à
condition, notamment, qu’il y ait eu une violation suffisamment caractérisée d’une règle de droit ayant pour objet de conférer des droits aux particuliers. Or, l’article 32, paragraphe 1, du règlement 2016/794 ne prévoirait pas d’obligation absolue de résultat, mais imposerait uniquement à Europol de mettre en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre toute forme de traitement non autorisé, ce qu’elle aurait fait. En
outre, Europol n’aurait jamais traité les données extraites des téléphones portables en cause sous une forme décryptée et intelligible.
117 Conformément à la jurisprudence de la Cour, l’engagement de la responsabilité non contractuelle de l’Union au titre de l’article 340, deuxième alinéa, TFUE est subordonné à la réunion d’un ensemble de conditions, à savoir l’existence d’une violation suffisamment caractérisée d’une règle de droit ayant pour objet de conférer des droits aux particuliers, la réalité du dommage et l’existence d’un lien de causalité entre la violation de l’obligation qui incombe à l’auteur de l’acte et le dommage
subi par les personnes lésées (arrêt du 10 septembre 2019, HTTS/Conseil, C‑123/18 P, EU:C:2019:694, point 32 et jurisprudence citée).
118 Il ressort de cette jurisprudence que la première condition d’engagement de cette responsabilité, qui a trait à l’illégalité du comportement reproché à l’institution, à l’organe ou à l’organisme de l’Union concerné, au sens de la jurisprudence rappelée au point 73 du présent arrêt, comporte deux volets, à savoir qu’il est nécessaire, d’une part, qu’une violation d’une règle du droit de l’Union ayant pour objet de conférer des droits aux particuliers se soit produite et, d’autre part, que cette
violation soit suffisamment caractérisée (voir, en ce sens, arrêt du 10 septembre 2019, HTTS/Conseil, C‑123/18 P, EU:C:2019:694, point 36).
119 En ce qui concerne le premier volet de cette condition, selon une jurisprudence bien établie, les droits des particuliers naissent non seulement lorsqu’une attribution explicite en est faite par des dispositions du droit de l’Union, mais aussi en raison d’obligations positives ou négatives que celles-ci imposent d’une manière bien définie tant aux particuliers qu’aux États membres ou aux institutions, aux organes et aux organismes de l’Union [voir, en ce sens, arrêt du 22 décembre 2022, Ministre
de la Transition écologique et Premier ministre (Responsabilité de l’État pour la pollution de l’air), C‑61/21, EU:C:2022:1015, point 46]. Cette règle vaut également pour des obligations imposées par le droit de l’Union dans le cadre de la coopération entre une agence de l’Union, telle qu’Europol, et les États membres.
120 La violation de telles obligations est susceptible de porter atteinte aux droits qui sont ainsi implicitement conférés aux particuliers en vertu des dispositions du droit de l’Union concernées. La pleine efficacité de ces dispositions et la protection des droits que celles-ci ont pour objet de conférer exigent que les particuliers aient la possibilité d’obtenir réparation [voir, en ce sens, arrêt du 22 décembre 2022, Ministre de la Transition écologique et Premier ministre (Responsabilité de
l’État pour la pollution de l’air), C‑61/21, EU:C:2022:1015, point 47].
121 En l’espèce, il y a lieu de constater que le règlement 2016/794 impose à Europol et aux autorités compétentes des États membres appelées à coopérer avec cette agence de l’Union à des fins de poursuites pénales une obligation de protection des particuliers contre le traitement illicite des données à caractère personnel les concernant, qui résulte, en particulier, d’une lecture combinée de l’article 2, sous h), i) et k), de l’article 28, paragraphe 1, sous a) et f), de l’article 38, paragraphe 4,
et de l’article 50, paragraphe 1, de ce règlement.
122 En effet, l’article 2, sous k), du règlement 2016/794 définit un « traitement » comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de données à caractère personnel, telles que la communication par transmission, la diffusion ou toute autre forme de mise à disposition. L’article 2, sous h) et i), de ce règlement définit les « données à caractère personnel » comme toute information se rapportant à une
« personne concernée », cette dernière notion désignant une personne physique identifiée ou identifiable. Par ailleurs, l’article 28, paragraphe 1, sous a) et f), dudit règlement exige que les données à caractère personnel soient traitées « loyalement et licitement » et de manière à leur assurer un niveau de sécurité approprié. Selon l’article 38, paragraphe 4, du même règlement, Europol est responsable du respect de ces principes visés audit article 28, paragraphe 1, sous a) et f). Enfin,
l’article 50, paragraphe 1, du règlement 2016/794, en tant qu’il impose aux entités impliquées dans le cadre de la coopération prévue à ce règlement, de réparer le préjudice subi par une personne physique du fait d’un traitement de données illicite, comporte l’obligation implicite, pour ces entités, de protéger toute personne physique contre toute forme illicite de mise à disposition de données à caractère personnel la concernant.
123 Il découle d’une lecture combinée des dispositions visées aux deux points précédents que toute divulgation de données à caractère personnel, faisant l’objet d’un traitement dans le cadre d’une coopération entre Europol et les autorités nationales compétentes au titre du règlement 2016/794, à des personnes non autorisées à en prendre connaissance constitue la violation d’une règle du droit de l’Union ayant pour objet de conférer des droits à des particuliers.
124 En l’occurrence, il résulte des constatations opérées par le Tribunal aux points 1, 2, 44, 84, 85 et 90 de l’arrêt attaqué, que la Cour fait siennes, que des données à caractère personnel relatives au requérant, consistant en des conversations à caractère intime entre celui-ci et son amie, qui étaient contenues dans les téléphones portables en cause, remis par les autorités slovaques à Europol dans le cadre d’une coopération au titre du règlement 2016/794, ont été extraites de ces téléphones et
que ces données, qui étaient en possession, d’abord d’Europol et, à partir du 23 octobre 2018, d’Europol et de ces autorités, ont fait l’objet d’une divulgation à des personnes non autorisées à en prendre connaissance, qui a débouché sur leur publication dans la presse slovaque le 20 mai 2019. De telles circonstances sont révélatrices d’une violation telle que celle visée au point précédent.
125 À cet égard, il y a lieu d’écarter l’argument d’Europol selon lequel elle aurait respecté les obligations que lui impose le règlement 2016/794 en mettant en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre toute forme de traitement non autorisé. En effet, ainsi qu’il a été relevé au point 80 du présent arrêt, l’article 50, paragraphe 1, de ce règlement établit un régime de responsabilité solidaire dans le cadre duquel la
personne qui s’estime victime d’un traitement de données illicite est dispensée d’établir à laquelle des entités impliquées dans une coopération au titre dudit règlement est imputable un tel traitement, sans préjudice de la possibilité offerte à Europol de saisir, le cas échéant, ultérieurement, son conseil d’administration, sur le fondement de l’article 50, paragraphe 2, du même règlement, pour voir déterminer la responsabilité ultime de la réparation accordée à cette personne.
126 S’agissant du second volet de la première condition d’engagement de la responsabilité non contractuelle de l’Union, relatif à l’exigence d’une violation suffisamment caractérisée d’une règle du droit de l’Union ayant pour objet de conférer des droits aux particuliers, le critère décisif à cet égard pour considérer qu’une violation de ce droit est suffisamment caractérisée est celui d’une violation manifeste et grave des limites du pouvoir d’appréciation que comporte la règle violée (voir, en ce
sens, arrêts du 4 juillet 2000, Bergaderm et Goupil/Commission, C‑352/98 P, EU:C:2000:361, point 43 et jurisprudence citée, ainsi que du 4 avril 2017, Médiateur/Staelen, C‑337/15 P, EU:C:2017:256, point 31 et jurisprudence citée). Lorsque l’autorité concernée ne dispose que d’une marge d’appréciation considérablement réduite, voire inexistante, la simple infraction au droit de l’Union peut suffire à établir l’existence d’une violation suffisamment caractérisée de ce droit (arrêt du 10 juillet
2003, Commission/Fresh Marine, C‑472/00 P, EU:C:2003:399, point 26 et jurisprudence citée). Constituent notamment une telle violation des erreurs inexcusables, des négligences graves dans l’exercice d’un devoir ou un manque de diligence manifeste (voir, en ce sens, arrêt du 30 janvier 1992, Finsider e.a./Commission, C‑363/88 et C‑364/88, EU:C:1992:44, point 22 ainsi que jurisprudence citée).
127 L’appréciation à effectuer requiert de prendre en considération le domaine, les conditions et le contexte dans lesquels l’obligation en cause pèse sur l’autorité concernée (voir, en ce sens, arrêt du 4 avril 2017, Médiateur/Staelen, C‑337/15 P, EU:C:2017:256, point 40 et jurisprudence citée).
128 En outre, il y a lieu de tenir compte, notamment, du degré de clarté et de précision de la règle violée ainsi que de l’étendue de la marge d’appréciation que cette règle laisse à l’autorité concernée (voir, en ce sens, arrêt du 30 mai 2017, Safa Nicu Sepahan/Conseil, C‑45/15 P, EU:C:2017:402, point 30 et jurisprudence citée), de la complexité de la situation à régler et des difficultés d’application ou d’interprétation des textes [arrêt du 19 avril 2007, Holcim (Deutschland)/Commission,
C‑282/05 P, EU:C:2007:226, point 50 et jurisprudence citée].
129 En l’occurrence, il y a lieu de constater, d’une part, que les dispositions mentionnées aux points 122 et 123 du présent arrêt ne laissent aux entités impliquées dans une coopération au titre du règlement 2016/794 aucune marge d’appréciation quant à leur obligation de protéger toute personne physique contre toute forme illicite de mise à disposition de données à caractère personnel la concernant en mettant en œuvre les mesures techniques et organisationnelles appropriées à cette fin. D’autre
part, cette obligation s’inscrit dans le contexte sensible d’une coopération entre Europol et les États membres à des fins de poursuites pénales, dans lequel de telles données sont traitées en dehors de toute intervention des personnes concernées, le plus souvent à leur insu, et donc sans que celles-ci puissent intervenir d’une quelconque façon afin de prévenir un éventuel traitement illicite de leurs données.
130 Le caractère intime des données pouvant être contenues dans des supports comme ceux en cause dans la présente affaire renforce la nécessité qu’il y avait d’assurer strictement la protection de ces données concernant le requérant, et cela d’autant plus que lesdites données ne présentaient aucun lien avec les faits pour lesquels le requérant était poursuivi pénalement.
131 Dans ces conditions, il y a lieu de considérer, eu égard aux constatations du Tribunal rappelées au point 124 du présent arrêt, que le traitement illicite desdites données survenu dans le cadre de la coopération entre Europol et les autorités slovaques au titre du règlement 2016/794 a constitué une violation suffisamment caractérisée d’une règle du droit de l’Union ayant pour objet de conférer des droits aux particuliers.
132 Il convient d’ajouter que l’argument d’Europol selon lequel celle-ci n’aurait jamais disposé des données extraites des téléphones portables en cause sous une forme décryptée et intelligible n’est pas de nature à remettre en cause l’existence même d’une telle violation en raison du traitement de données illicite survenu dans le cadre de cette coopération. Or, ainsi qu’il ressort du point 80 du présent arrêt, l’article 50, paragraphe 1, du règlement 2016/794 établit un régime de responsabilité
solidaire dans le cadre duquel la victime d’un tel traitement est dispensée d’établir à laquelle des entités impliquées dans une telle coopération ce traitement est imputable. Il s’ensuit que cet argument ne saurait, en tout état de cause, prospérer dans le contexte de la présente affaire, sans préjudice de la possibilité pour Europol de l’invoquer, le cas échéant, dans le cadre de la saisine de son conseil d’administration au titre de l’article 50, paragraphe 2, de ce règlement.
133 S’agissant des deuxième et troisième conditions d’engagement de la responsabilité non contractuelle de l’Union découlant de l’article 340, deuxième alinéa, TFUE, relatives à la preuve du préjudice subi et du lien causal entre ce préjudice et la violation suffisamment caractérisée d’une règle du droit de l’Union, que constitue en l’espèce le traitement de données illicite, le requérant soutient que la divulgation des données à caractère personnel le concernant contenues dans les téléphones
portables en cause a, du fait de la publication de ces données, non seulement porté atteinte au droit au respect de sa vie privée, mais aussi au droit au respect de sa vie familiale. Cette divulgation aurait eu un impact négatif sur les relations entre le requérant et ses filles, qui auraient été profondément affectées par la publication desdites données, qui font état notamment du rapport intime de leur père avec son amie, exposé publiquement, ainsi que de leurs conversations intimes. Il en
aurait résulté un sentiment de frustration et d’injustice ainsi qu’une atteinte à l’honneur et à la réputation professionnelle du requérant. Ladite divulgation aurait également porté atteinte au droit au respect de ses communications garanti par l’article 7 de la Charte.
134 Europol n’a formulé aucun argument spécifique concernant la réalité du préjudice moral allégué par le requérant et l’existence d’un lien de causalité entre le traitement de données illicite et ce préjudice. Elle s’est bornée à soutenir que, en l’absence de preuve d’un fait dommageable ou de son imputabilité à Europol, le premier chef de conclusions devait être rejeté.
135 S’agissant des conditions relatives à la réalité du dommage et au lien causal, la responsabilité extracontractuelle de l’Union ne saurait être engagée que si la partie requérante a effectivement subi un préjudice réel et certain, et que le préjudice découle de façon suffisamment directe de la violation alléguée d’une règle du droit de l’Union. Il incombe à la partie requérante d’apporter des éléments de preuve au juge de l’Union afin d’établir l’existence et l’étendue du préjudice qu’elle
invoque ainsi que l’existence d’un lien suffisamment direct de cause à effet entre cette violation et le dommage allégué (voir, en ce sens, arrêt du 30 mai 2017,Safa Nicu Sepahan/Conseil, C‑45/15 P, EU:C:2017:402, points 61 et 62 ainsi que jurisprudence citée).
136 En l’occurrence, ainsi qu’il a été relevé au point 124 du présent arrêt, le traitement de données illicite qu’a constitué la divulgation à des personnes non autorisées de données relatives à des conversations intimes entre le requérant et son amie a conduit à rendre ces données accessibles au public ainsi qu’en atteste leur publication dans la presse slovaque. Eu égard au contenu de ces conversations, il y a lieu de considérer que ce traitement de données illicite a violé le droit du requérant
au respect de sa vie privée et familiale ainsi que de ses communications, tel que garanti par l’article 7 de la Charte, et a porté atteinte à son honneur et à sa réputation, ce qui a causé un dommage moral à celui-ci.
137 À titre de réparation du dommage allégué dans le cadre du premier chef de conclusions, le requérant réclame le versement d’une somme d’un montant de 50000 euros.
138 Toutefois, le Tribunal a estimé que l’examen du premier chef de conclusions devait être limité au préjudice allégué résultant de la seule divulgation des transcriptions des conversations à caractère intime et sexuel entre le requérant et son amie, le requérant n’ayant fourni aucun élément de nature à établir directement ou indirectement la réalité de la divulgation des photographies évoquées au point 26 du présent arrêt.
139 Ce rejet partiel du premier chef de conclusions n’ayant pas été contesté dans le cadre du pourvoi, il y a lieu d’exclure de l’indemnisation à accorder au requérant cette partie du préjudice allégué.
140 Dans ces conditions, il y a lieu de décider que le dommage moral encouru par le requérant du fait de la divulgation des transcriptions des conversations à caractère intime entretenues avec son amie sera adéquatement réparé par le versement, à celui-ci, d’une indemnité fixée, en équité, à 2000 euros.
Sur les dépens
141 Aux termes de l’article 184, paragraphe 2, du règlement de procédure de la Cour, lorsque le pourvoi n’est pas fondé ou lorsque le pourvoi est fondé et que la Cour juge elle-même définitivement le litige, elle statue sur les dépens.
142 Selon l’article 138, paragraphe 1, de ce règlement, applicable à la procédure de pourvoi en vertu de l’article 184, paragraphe 1, de celui-ci, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens. Conformément à cet article 138, paragraphe 3, première phrase, si les parties succombent respectivement sur un ou plusieurs chefs, chaque partie supporte ses propres dépens.
143 En l’espèce, le requérant demande qu’il soit statué quant aux dépens « dans le cadre de la procédure au principal ». À cet égard, il y a lieu de relever que, si, dans ses conclusions en première instance, il a demandé qu’Europol soit condamnée aux dépens, dans son pourvoi, il n’a pas conclu sur les dépens afférents à la procédure de pourvoi.
144 Europol a conclu à la condamnation du requérant aux dépens afférents tant à la procédure de première instance qu’à la procédure de pourvoi.
145 Dans ces circonstances, les parties ayant chacune succombé partiellement en leurs conclusions au stade du pourvoi ainsi que, partiellement, en leurs conclusions en première instance, chacune d’elles supportera ses propres dépens afférents tant à la procédure de première instance qu’à la procédure de pourvoi.
146 Conformément à l’article 140, paragraphe 1, du règlement de procédure, applicable à la procédure de pourvoi en vertu de l’article 184, paragraphe 1, de ce même règlement, les États membres et les institutions intervenus au litige supportent leurs propres dépens. La République slovaque, partie intervenante devant la Cour, devra donc supporter ses propres dépens.
Par ces motifs, la Cour (grande chambre) déclare et arrête :
1) L’arrêt du Tribunal de l’Union européenne du 29 septembre 2021, Kočner/Europol (T‑528/20, EU:T:2021:631), est annulé en tant qu’il rejette le premier chef de conclusions tel que circonscrit dans cet arrêt.
2) Le pourvoi est rejeté pour le surplus.
3) L’Agence de l’Union européenne pour la coopération des services répressifs (Europol) est condamnée à payer une indemnité d’un montant de 2000 euros à M. Marián Kočner.
4) Le recours est rejeté pour le surplus.
5) M. Marián Kočner et Europol supporteront chacun leurs propres dépens afférents tant à la procédure de première instance qu’à la procédure de pourvoi.
6) La République slovaque supportera ses propres dépens.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le slovaque.