CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MICHAL BOBEK
présentées le 2 septembre 2021 ( 1 )
Affaire C‑175/20
SIA « SS »
contre
Valsts ieņēmumu dienests
[demande de décision préjudicielle formée par l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et de la libre circulation de ces données – Base juridique pour le traitement – Obligation en droit national pour les prestataires de services publicitaires sur Internet de fournir, à la demande des autorités fiscales, toute information dont ils disposent sur des contribuables qui ont eu recours à ces services – Demandes d’informations adressées par l’autorité fiscale au prestataire de
services – Portée – Limites matérielles et temporelles découlant du RGPD »
I. Introduction
1. Le règlement (UE) 2016/679 ( 2 ) (ci-après le « RGPD ») n’est pas un texte législatif circonscrit. Son champ d’application défini de manière large, le fait que toute exception à celui-ci s’est vu vider effectivement de sa substance par la jurisprudence ( 3 ), ainsi que l’approche retenue pour l’interpréter ( 4 ), qui, fondée sur des définitions, est abstraite et donc plutôt vaste, sont autant de facteurs qui ont contribué chacun à rendre sa portée pour ainsi dire sans limite. En effet, dans une
approche de cet ordre, il est particulièrement difficile de trouver à l’heure actuelle une situation où quelqu’un ne soit pas quelque part en train de traiter, à quelque stade, des données à caractère personnel.
2. Cette approche, qui trouve sa source dans la protection des données à caractère personnel que l’article 8 de la charte des droits fondamentaux de l’Union européenne élève au rang d’un (super‑)droit fondamental, l’emportant sur tout, conduit néanmoins à de réels effets centripètes que cette protection des données a commencé à exercer sur d’autres domaines du droit et sur le contentieux que ces domaines suscitent. Un certain nombre d’affaires ont tout à coup été présentées comme des cas afférents à
la protection de données à caractère personnel et ont été portées (entre autres) devant la Cour en tant que question d’interprétation du RGPD. Pourtant, les aspects spécifiques soulevés dans ces litiges ne sont parfois pas ceux dont on s’attend à ce qu’ils soient régis par un texte législatif tel que le RGPD, en dépit de son champ d’application si étendu.
3. En effet, rares sont ceux qui, à l’avance, auraient songé que le RGPD, ou la directive 95/46/CE qui l’a précédé ( 5 ), puisse être considéré – pour ne citer que quelques-uns des exemples les plus curieux – comme régissant l’accès d’experts-comptables stagiaires à leur copie d’examen, potentiellement assorti d’un droit de rectification de ces données à caractère personnel après que l’examen a eu lieu ( 6 ), ou comme empêchant l’identification par la police d’un particulier impliqué dans un
accident de la circulation, de telle sorte que la personne lésée ne puisse pas agir devant une juridiction civile en réparation du dommage causé à son véhicule ( 7 ), ou comme limitant la divulgation d’informations concernant une dette fiscale, acquittée par une société entre-temps en faillite, au syndic de cette faillite afin de rétablir l’égalité entre les créanciers de droit privé et ceux de droit public en cas d’actions révocatoires dans le cadre de la procédure d’insolvabilité ( 8 ).
4. La présente affaire constitue encore une illustration supplémentaire des effets centripètes du RGPD. SIA « SS » est un prestataire de services publicitaires en ligne. Dans le cadre de cette activité commerciale, elle obtient des données à caractère personnel des personnes qui placent des annonces sur son site Internet. Pour s’assurer que les taxes sur la vente des voitures sont dûment perçues, l’autorité fiscale lettonne compétente a demandé à cette entreprise de lui communiquer un certain nombre
de données relatives aux annonces publiées sur ce site concernant les voitures d’occasion. Cette autorité fiscale a exposé en détail dans quel format elle souhaitait obtenir les données. Elle a précisé également que ces transferts de données étaient supposés être permanents et, apparemment, sans compensation financière.
5. C’est dans ce contexte que la juridiction de renvoi interroge la Cour sur la portée admissible de telles demandes de transfert de données. Tout comme dans les affaires antérieures, le RGPD semble être applicable en l’espèce. Des données à caractère personnel sont ou seront traitées quelque part par quelqu’un et elles le seront assurément, plus tard, lors de l’exécution du transfert. Les droits des personnes concernées dans le cadre d’un tel traitement devraient être protégés, tout comme devraient
l’être aussi les données à caractère personnel visées. Toutefois, cela ne signifie pas que le RGPD régit spécifiquement les relations entre un responsable futur du traitement (une autorité publique) et un responsable actuel du traitement (une entreprise privée). En effet, le RGPD suit et protège les données où qu’elles aillent, régissant ainsi les obligations de tout responsable successif du traitement à l’égard des données et à l’égard des personnes concernées. À l’inverse, le RGPD ne régit pas,
hormis de rares exceptions explicites, les détails concrets du rapport mutuel entre deux responsables successifs du traitement de ces données. En particulier, le RGPD ne prévoit pas les modalités précises du rapport entre les responsables du traitement, qu’il soit d’origine contractuelle ou de droit public, en application duquel l’un peut demander à l’autre des données et les obtenir de celui-ci.
II. Le cadre juridique
A. Le droit de l’Union
6. Le considérant 31 du RGPD énonce ce qui suit :
« Les autorités publiques auxquelles des données à caractère personnel sont communiquées conformément à une obligation légale pour l’exercice de leurs fonctions officielles, telles que les autorités fiscales et douanières, les cellules d’enquête financière, les autorités administratives indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la surveillance des marchés de valeurs mobilières ne devraient pas être considérées comme des destinataires si elles
reçoivent des données à caractère personnel qui sont nécessaires pour mener une enquête particulière dans l’intérêt général, conformément au droit de l’Union ou au droit d’un État membre. Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers. Le traitement des données à caractère
personnel par les autorités publiques en question devrait être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement. »
7. Le considérant 45 du RGPD est libellé comme suit :
« Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder
plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Il devrait également appartenir au droit de l’Union ou au droit d’un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du traitement
des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l’objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d’autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au droit de l’Union ou au droit d’un État
membre de déterminer si le responsable du traitement exécutant une mission d’intérêt public ou relevant de l’exercice de l’autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l’intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu’une association professionnelle. »
8. L’article 2 du RGPD établit le champ d’application matériel de ce règlement :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
[...]
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.
[...] »
9. L’article 4 dudit règlement contient les définitions aux fins du RGPD et prévoit que l’on entend par :
« 1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le
droit d’un État membre ;
8) “sous-traitant”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
9) “destinataire”, la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces
données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;
[...] »
10. L’article 5 du RGPD établit les principes relatifs au traitement des données à caractère personnel :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89,
paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui‑ci est respecté (responsabilité). »
11. Aux termes de l’article 6 du RGPD :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[...]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...]
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le
responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de
traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. »
12. Le chapitre III, intitulé « Droits de la personne concernée », précise aux articles 12 à 22 les droits et obligations correspondantes des responsables du traitement. L’article 23 du RGPD, qui clôture ce chapitre, est intitulé « Limitations » et dispose :
« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et
qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :
[...]
e) d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;
[...]
2. En particulier, toute mesure législative visée au paragraphe 1 contient des dispositions spécifiques relatives, au moins, le cas échéant :
a) aux finalités du traitement ou des catégories de traitement ;
b) aux catégories de données à caractère personnel ;
c) à l’étendue des limitations introduites ;
d) aux garanties destinées à prévenir les abus ou l’accès ou le transfert illicites ;
e) à la détermination du responsable du traitement ou des catégories de responsables du traitement ;
f) aux durées de conservation et aux garanties applicables, en tenant compte de la nature, de la portée et des finalités du traitement ou des catégories de traitement ;
g) aux risques pour les droits et libertés des personnes concernées ; et
h) au droit des personnes concernées d’être informées de la limitation, à moins que cela risque de nuire à la finalité de la limitation. »
B. Le droit letton
13. En vertu de l’article 15, paragraphe 6, du likums « Par nodokļiem un nodevām » (loi sur les impôts et les taxes), dans la version en vigueur au moment des faits de la présente affaire, les prestataires de services publicitaires sur Internet sont tenus de fournir, à la demande de l’administration fiscale lettonne, les informations dont ils disposent concernant les contribuables qui ont eu recours à ces services pour publier des annonces et concernant les annonces qu’ils ont publiées.
III. Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles
14. Le 28 août 2018, le directeur du Nodokļu kontroles pārvalde (service du contrôle fiscal) du Valsts ieņēmumu dienests (autorité fiscale lettonne) (ci-après la « défenderesse ») a envoyé à SIA « SS » (ci-après la « requérante ») une demande d’informations au titre de l’article 15, paragraphe 6, de la loi sur les impôts et les taxes.
15. Dans cette demande, la défenderesse a enjoint à la requérante de lui renouveler l’accès aux informations concernant les numéros de téléphone des personnes ayant publié des annonces sur son site (www.ss.com) et concernant le numéro de châssis des véhicules figurant dans ces annonces. La défenderesse a également demandé à la requérante de lui fournir, pour le 3 septembre 2018, des informations sur les annonces publiées dans la section « Voiture particulière » du site, au cours de la période du
14 juillet au 31 août 2018. La requérante était invitée à envoyer les informations par voie électronique, dans un format qui permettrait de filtrer et de sélectionner les données. La défenderesse avait également demandé d’inclure dans le fichier de données les informations suivantes : un lien vers l’annonce, le texte de celle‑ci, la marque du véhicule, le modèle, le numéro de châssis, le prix, ainsi que les numéros de téléphone du vendeur.
16. Au cas où il ne serait pas possible de renouveler l’accès, la requérante était invitée à expliquer pourquoi et aussi à fournir, à intervalles réguliers, les informations relatives aux annonces publiées, et ce au plus tard le troisième jour de chaque mois.
17. La requérante a déposé une réclamation administrative contestant la demande d’informations devant le directeur général faisant fonction de la défenderesse. Selon elle, dans sa portée, la demande d’informations, lesquelles constituent des données à caractère personnel au sens de l’article 4, point 1, du RGPD, n’était pas justifiée par la législation. La demande ne spécifie pas un groupe particulier de personnes concernées et n’indique ni la finalité ou la portée du traitement prévu ni pendant
combien de temps l’obligation de fournir les informations durera, de sorte que la défenderesse, en sa qualité de responsable du traitement, n’a pas agi conformément au principe de proportionnalité ou au principe de minimisation du traitement de données à caractère personnel découlant du RGPD, auquel elle est soumise.
18. Par décision du 30 octobre 2018 (ci-après la « décision contestée »), la défenderesse a rejeté la réclamation et maintenu la demande d’informations.
19. Dans les motifs de cette décision, la défenderesse a déclaré, en substance, que, dans le cadre du traitement des données susmentionnées, l’autorité fiscale remplit les fonctions et exerce les pouvoirs que la loi lui confère. Elle est chargée de percevoir et de contrôler les taxes, impôts, et autres prélèvements. Elle a une obligation légale de surveiller les activités économiques et financières des personnes physiques et morales pour assurer que de tels droits sont versés aux budgets de l’État
et de l’Union. En vue de lui permettre de s’acquitter de ces fonctions, la loi confère à la défenderesse le pouvoir de recueillir les documents et informations nécessaires pour prendre en considération et comptabiliser les faits générateurs de l’impôt et pour contrôler les taxes et impôts. En particulier, en vertu de l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, les prestataires de services publicitaires sur Internet sont dans l’obligation de fournir à l’autorité fiscale, à
la demande de celle‑ci, toute information dont ils disposent sur les contribuables qui ont eu recours à ces services pour publier des annonces ainsi que sur les annonces elles-mêmes. Les informations confidentielles détenues par la défenderesse sont protégées par la loi, en particulier par l’interdiction de divulgation qui est imposée aux employés de l’autorité fiscale. Il s’ensuivrait que la demande d’informations est licite.
20. La requérante a formé un recours en annulation de la décision contestée devant l’Administratīvā rajona tiesa (tribunal administratif de district, Lettonie), en invoquant que la motivation de cette décision n’indiquait aucune finalité spécifique du traitement des données ni les critères de sélection des informations demandées en lien avec un groupe particulier de personnes identifiables.
21. Par décision du 21 mai 2019, l’Administratīvā rajona tiesa (tribunal administratif de district) a rejeté ce recours. En substance, tout comme la défenderesse, il a considéré que la quantité d’informations auxquelles l’administration fiscale peut avoir accès, en lien avec toute personne, n’est susceptible de faire l’objet d’aucune restriction, sauf si les informations en question devaient être considérées comme incompatibles avec les objectifs de l’administration fiscale. Selon cette décision,
les informations demandées étaient nécessaires pour identifier des activités économiques non déclarées. Les dispositions du RGPD ne s’appliquent qu’à la requérante, en sa qualité de prestataire de services, et non à l’autorité fiscale.
22. La requérante a interjeté appel de cette décision devant l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie). Selon la requérante, le RGPD est applicable dans la présente affaire. Aux fins des données à caractère personnel recueillies au moyen de la demande d’informations, la défenderesse doit être considérée comme le responsable du traitement au sens de ce règlement et elle doit donc respecter les exigences qui y sont prévues. Or, en émettant la demande d’informations, elle
a porté atteinte au principe de proportionnalité en exigeant que lui soit envoyée tous les mois une quantité considérable de données concernant un nombre indéfini d’annonces, sans indiquer les contribuables spécifiques à l’égard desquels les contrôles fiscaux sont lancés. La requérante déclare que la demande d’informations n’indique pas pendant combien de temps la requérante aura l’obligation de fournir à la défenderesse les informations précisées dans cette demande. La requérante estime donc
que la défenderesse a méconnu les principes régissant le traitement de données à caractère personnel, qui sont établis à l’article 5 du RGPD (licéité, loyauté, transparence). Elle soutient que ni la demande d’informations ni la motivation de la décision contestée ne spécifient le cadre particulier (finalité) dans lequel a lieu le traitement des informations imposé par la défenderesse ou le volume d’informations nécessaire (minimisation des données). Elle fait valoir que, dans la demande
d’informations, l’autorité administrative doit inclure des critères clairement définis pour sélectionner les informations demandées par cette autorité en lien avec un groupe particulier de personnes identifiables.
23. Selon la juridiction de renvoi, il n’est pas possible de conclure avec certitude qu’une telle demande d’informations peut être considérée comme « dûment motivée » et « de nature occasionnelle » et qu’elle ne s’applique pas à toutes les informations figurant dans la section « Voiture particulière » du site de la requérante, étant donné que l’autorité fiscale tient essentiellement à procéder à des vérifications continues et exhaustives. La juridiction de renvoi éprouve des doutes quant à savoir si
le traitement des données à caractère personnel envisagé par la défenderesse peut être considéré comme conforme aux règles applicables en matière de données à caractère personnel, eu égard à la finalité du traitement au sens du considérant 31 du RGPD. Il est dès lors nécessaire de déterminer les critères permettant d’apprécier si la demande d’informations de la défenderesse respecte les droits et libertés fondamentaux et si cette demande peut être considérée comme nécessaire et proportionnée
dans une société démocratique en vue de sauvegarder les objectifs importants d’intérêt public de l’Union et de la République de Lettonie en matières fiscale et budgétaire.
24. Selon la juridiction de renvoi, la demande d’informations en cause ne fait référence à aucune « enquête particulière » menée par la défenderesse au sens des dispositions du RGPD. Cette demande vise des informations se rapportant non pas à des personnes spécifiques, mais plutôt à toutes les personnes concernées ayant publié des annonces dans la section « Voiture particulière » du site Internet. L’autorité fiscale demande également que ces informations soient fournies au plus tard le troisième
jour de chaque mois (ce qui signifie que la requérante doit fournir à la défenderesse toutes les informations concernant les annonces publiées le mois précédent). Eu égard à ce qui précède, la juridiction de renvoi se demande si une telle pratique de la part d’une autorité nationale est compatible avec les exigences prévues dans le RGPD.
25. C’est dans ce cadre factuel et juridique que l’Administratīvā apgabaltiesa (Cour administrative régionale) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Les exigences du [RGPD] doivent-elles être interprétées en ce sens qu’une demande de communication émanant de l’administration fiscale, telle que celle en cause au principal, qui implique une quantité importante de données à caractère personnel, doit être conforme aux exigences énoncées dans les dispositions du [RGPD] (en particulier, à l’article 5, paragraphe 1) ?
2) Les exigences du [RGPD] doivent-elles être interprétées en ce sens que l’administration fiscale [lettonne] peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement, même si un tel droit ne lui est pas conféré par la législation en vigueur en République de Lettonie ?
3) Eu égard aux exigences du [RGPD], existe-t-il un objectif légitime justifiant l’obligation imposée par une demande de communication, telle que celle en cause dans la présente affaire, de fournir toutes les informations demandées en quantité illimitée et pendant une période indéterminée, sans qu’une date de fin soit fixée pour l’exécution de la demande de communication ?
4) Eu égard aux exigences du [RGPD], existe-t-il un objectif légitime justifiant l’obligation imposée par une demande de communication, telle que celle en cause dans la présente affaire, de fournir toutes les données demandées, bien que la demande de communication ne précise pas la finalité de la communication des informations (ou le fait de manière incomplète) ?
5) Eu égard aux exigences du [RGPD], existe-t-il un objectif légitime justifiant l’obligation imposée par une demande de communication, telle que celle en cause dans la présente affaire, de fournir toutes les données demandées, bien que, en pratique, cette demande vise absolument toutes les personnes concernées qui ont publié des annonces dans la rubrique intitulée “Voiture particulière” d’un portail ?
6) Quels critères convient-il d’utiliser pour vérifier que l’administration fiscale, en tant que responsable du traitement, s’assure de manière adéquate que le traitement (y compris la collecte d’informations) est conforme aux exigences du [RGPD] ?
7) Quels critères convient-il d’utiliser pour déterminer si une demande de communication, telle que celle en cause dans la présente affaire, est dûment motivée et de nature occasionnelle ?
8) Quels critères convient-il d’utiliser pour vérifier qu’un traitement des données à caractère personnel est effectué dans la mesure nécessaire et d’une manière compatible avec les exigences du [RGPD] ?
9) Quels critères convient-il d’utiliser pour vérifier que l’administration fiscale, en tant que responsable du traitement, s’assure qu’un traitement des données est conforme aux exigences de l’article 5, paragraphe 1, du [RGPD] (responsabilité) ? »
26. Des observations écrites ont été déposées par les gouvernements letton, belge, grec et espagnol, ainsi que par la Commission européenne. La requérante, les gouvernements letton, belge, grec et espagnol, ainsi que la Commission ont répondu aux questions écrites posées par la Cour conformément à l’article 61, paragraphe 1, du règlement de procédure de la Cour de justice.
IV. Appréciation
27. Les présentes conclusions sont structurées de la manière suivante. Tout d’abord, j’examinerai si le RGPD est applicable à une demande adressée par une autorité publique à un responsable du traitement pour obtenir le transfert d’une certaine quantité de données à caractère personnel. Eu égard aux questions soulevées par la juridiction de renvoi, une double clarification s’impose d’emblée : qui est qui exactement dans l’affaire au principal et quelles sont les règles spécifiques que le RGPD
prévoit dans de telles situations (A). Ensuite, j’aborderai le cadre juridique (plutôt sommaire) qui découle du RGPD à l’égard de demandes de transferts de données adressées par des autorités publiques à des entreprises privées (B). Enfin, je conclurai en formulant plusieurs observations sur ce qui, du moins à mon sens, constitue la véritable question épineuse de la présente affaire, même si elle n’a pas été soulevée expressément par la juridiction de renvoi (C).
A. L’applicabilité du RGPD
28. La juridiction de renvoi a soulevé neuf questions, qui ont trait chacune, d’une façon ou d’une autre, à la légalité des demandes spécifiques de transfert de certaines données à caractère personnel adressées par une autorité fiscale à une entreprise privée aux fins de la perception de l’impôt et de la détection de la fraude fiscale. Les données à caractère personnel en cause ont été obtenues des personnes concernées par cette entreprise dans le cadre de son activité professionnelle habituelle.
29. Toutefois, les neuf questions posées ne laissent pas apparaître de manière claire à qui incombe précisément quelle obligation, et sur le fondement de quelle disposition du RGPD. Cette absence de clarté dénote en quelque sorte un degré significatif d’incertitude quant à la délimitation de cette affaire à deux égards au moins.
30. Premièrement, dans les catégories prévues par le RGPD, qui est qui en l’espèce ? L’affaire concerne le transfert, d’une entreprise privée à une autorité publique, de certaines données provenant d’un ensemble plus vaste de données que cette entreprise privée a recueillies et dont elle assume la responsabilité du traitement. C’est là l’opération de traitement spécifique, au sens de l’article 4, point 2, du RGPD, qui est à la base des questions dont la Cour est saisie.
31. Or, il apparaît également que, en ce qui concerne ce transfert de données, la juridiction de renvoi considère déjà l’autorité fiscale (la défenderesse) comme le responsable du traitement pour cette opération ( 9 ). Ce postulat, qui sous-tend le renvoi préjudiciel dans son ensemble, est formulé expressément dans les sixième et neuvième questions. Cela impose une clarification préliminaire : qui, exactement, est tenu de se conformer au RGPD en l’espèce ? Qui est le responsable du traitement pour
cette opération spécifique ? (2)
32. Deuxièmement, en raison de cette incertitude, un autre problème important se pose : quelles sont les dispositions spécifiques du RGPD qui s’appliquent aux demandes de transfert de données et lesquelles de ces dispositions se rapportent, en particulier, au type et à la quantité de données qu’une autorité publique pourrait exiger d’une entreprise privée ? À cet égard, il est assez révélateur que trois des questions préjudicielles ne font état que de l’article 5, paragraphe 1, du RGPD, une
disposition transversale établissant les principes afférents au traitement de données à caractère personnel par tout responsable du traitement. En revanche, les autres questions se réfèrent simplement aux « exigences du RGPD » sans préciser quelles dispositions spécifiques sont censées les contenir.
33. Ainsi, une autre clarification préliminaire s’impose pour ce qui est de la ou des dispositions applicables du RGPD, en particulier en ce qui concerne la relation entre la requérante qui est une entreprise et la défenderesse qui est l’autorité fiscale. Comment le RGPD règle-t-il spécifiquement de telles demandes de transfert de données ainsi que les droits et obligations mutuels entre une entreprise privée et une autorité publique ? (3)
34. Cependant, avant d’aborder ces deux aspects, je rappellerai pourquoi, selon moi, l’application et le respect du RGPD ne peuvent pas être considérés de manière abstraite, en interprétant des définitions sans que celles-ci se rapportent à une opération de traitement spécifique à prendre comme point de départ. Ce n’est qu’après que cela aura été expliqué qu’il sera alors possible d’analyser correctement les acteurs et leurs obligations respectives (1).
1. Les définitions abstraites et la portée « attrape-tout » du RGPD
35. Dans la présente affaire, toutes les parties intéressées, y compris le gouvernement letton, sont d’accord pour admettre que, si le point de départ de l’analyse est fondé sur les définitions légales prévues à l’article 4 du RGPD des termes « données à caractère personnel » et « traitement », alors cet instrument est certainement applicable au cas d’espèce dans l’affaire au principal.
36. Premièrement, les données visées par la demande d’informations sont des données à caractère personnel au sens de l’article 4, point 1, du RGPD. Les informations demandées, telles que le numéro de téléphone des personnes concernées ou le numéro de châssis des véhicules, constituent des « information[s] se rapportant à une personne physique identifiée ou identifiable ». En effet, ces informations permettent d’identifier les vendeurs de voitures et, donc, les contribuables éventuels.
37. Deuxièmement, selon une jurisprudence constante, constitue un traitement la communication de données ( 10 ) ou la divulgation de données à caractère personnel par transmission, telle que la conservation ou toute autre forme de mise à disposition de données ( 11 ). En effet, la « communication par transmission » figure dans la liste descriptive d’opérations de traitement énumérées à l’article 4, point 2, du RGPD.
38. Troisièmement, ce traitement de données à caractère personnel est de toute évidence effectué à l’aide de procédés automatisés au sens de l’article 2, paragraphe 1, du RGPD.
39. En outre, aucune des exceptions, lesquelles doivent en tout état de cause être interprétées restrictivement ( 12 ), n’est applicable en l’espèce. Eu égard à l’enseignement de l’arrêt Österreichischer Rundfunk e.a. ( 13 ), et en particulier à la suite du récent arrêt Latvijas Republikas Saeima (Points de pénalité) ( 14 ), il ne saurait être soutenu que le traitement des données à caractère personnel en cause a eu lieu « dans le cadre d’une activité qui ne relève pas du champ d’application du
droit de l’Union » au sens de l’article 2, paragraphe 2, sous a), du RGPD.
40. De même, l’exception prévue à l’article 2, paragraphe 2, sous d), du RGPD ne semble pas davantage être applicable. Les « autorités compétentes » aux termes de cette disposition paraissent être des organismes tels que la police ou les services du ministère public ( 15 ). Elles n’incluent pas les autorités fiscales agissant aux fins de la perception des impôts et encore moins des prestataires de services publicitaires sur Internet. Qui plus est, même si le traitement de données par les autorités
fiscales compétentes pourrait éventuellement donner lieu dans certains cas à la détection d’une infraction pénale sous la forme d’une fraude fiscale, il s’agit à ce stade d’une simple possibilité théorique ( 16 ).
41. Partant, en suivant cette approche, il faut conclure que le RGPD est applicable : il y a, dans cette affaire, des données à caractère personnel qui sont traitées à l’aide de procédés automatisés. Or, comme j’y ai déjà fait allusion dans l’introduction des présentes conclusions, une approche de cet ordre, fondée sur les notions pertinentes de l’article 4 du RGPD, telles que celles de « traitement » ( 17 ), de « données à caractère personnel » ( 18 ) ou de « responsable du traitement » ( 19 ),
interprétées de manière extensive et en faisant abstraction de toute opération de traitement spécifique, signifie que toute communication de n’importe quelle information serait régie par le RGPD.
42. En vue d’interpréter correctement les obligations de tous les acteurs concernés, une analyse au regard du RGPD requiert au départ une claire identification d’une opération de traitement spécifique. Ce n’est qu’alors qu’il peut être procédé en bonne et due forme à l’appréciation des obligations que le RGPD impose pour cette opération spécifique aux acteurs effectifs qui sont concernés par ce traitement ( 20 ). Ce que réglemente le RGPD est l’opération de traitement spécifique, le travail qui est
fait sur les données et au moyen de celles-ci. Liés aux prestations et axés sur les processus, la logique réglementaire du RGPD et son enjeu sont donc nécessairement dynamiques.
2. Qui est qui en l’espèce ?
43. Quelle est l’opération de traitement spécifique en l’espèce ? L’exécution de demandes d’informations telles que celles en cause dans l’affaire au principal exige incontestablement le traitement de données à caractère personnel auquel le RGPD sera en principe applicable. En l’occurrence, deux entités différentes procèdent, à un moment donné, à un traitement de données. Dans ses questions, la juridiction de renvoi se concentre sur le traitement opéré par la défenderesse, c’est‑à‑dire l’autorité
fiscale lettonne. Or, les faits de l’affaire laissent apparaître qu’un traitement devrait au préalable être opéré par la requérante, à savoir l’entreprise privée.
44. Dans l’arrêt Fashion ID ( 21 ), la Cour a examiné les opérations spécifiques concernées par le traitement des données pour identifier le ou les responsables pertinents du traitement. La Cour a jugé que la notion de « responsable du traitement » ne renvoie pas nécessairement à un organisme unique et peut concerner plusieurs acteurs participant à ce traitement, chacun d’entre eux étant alors soumis aux dispositions applicables en matière de protection des données ( 22 ). Toutefois, une personne
physique ou morale ne saurait être considérée comme étant responsable des opérations antérieures ou postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens ( 23 ).
45. Dans la présente affaire, le défendeur est susceptible d’être le responsable du traitement dès l’instant où il a reçu de la requérante les données demandées et où il commence à les traiter au sens de l’article 4, point 2, du RGPD ( 24 ). À ce stade, non seulement le défendeur commencera à procéder au traitement des données, mais il est aussi susceptible de définir les moyens et finalités de son propre traitement aux fins de l’article 4, point 7, du RGPD. Lorsqu’il exécute lui‑même toute
opération future de traitement de données, le défendeur devra alors veiller à se conformer – pour autant que l’État membre n’ait adopté aucune limitation en application de l’article 23 du RGPD à cet égard – aux principes relatifs à la qualité des données énoncés à l’article 5 du RGPD et à fonder son ou ses opérations de traitement sur l’un des cas prévus à l’article 6, paragraphe 1, du RGPD ( 25 ).
46. Cependant, la décision de renvoi montre clairement que ce stade n’a pas encore été atteint dans la présente affaire. L’autorité fiscale n’est pas en possession des données demandées. Partant, elle ne saurait avoir commencé aucune opération de traitement de ces données. En outre, la Cour n’a reçu aucune information sur ce que le défendeur compte faire des données ou sur le type de traitement qu’il pourrait effectuer.
47. La seule chose qui s’est passée, jusqu’ici, c’est que l’autorité fiscale a demandé à une entreprise privée de lui fournir un ensemble déterminé de données. En soi, il ne s’agit pas d’un traitement de la moindre donnée à caractère personnel, et certainement pas des données qui doivent encore être obtenues. Dans un tel scénario factuel, la requérante, à savoir l’entreprise privée, demeure le responsable du traitement des données dans la mesure où elle les a obtenues en premier lieu par le biais de
l’exercice de sa propre activité, donc pour les moyens et les finalités qu’elle a elle-même définis. Lorsqu’elle traite les données en sa possession en vue de les communiquer au défendeur suivant les conditions qu’elle a reçues, la requérante reste également le responsable du traitement pour cette opération de traitement. C’est la requérante qui opère ce traitement ultérieur ( 26 ).
48. Dans ce cadre, et conformément à l’article 6, paragraphe 1, sous c), du RGPD, la requérante assure en cela le respect d’une obligation légale à laquelle elle est soumise en tant que responsable du traitement, à savoir celle de l’article 15, paragraphe 6, de la loi sur les impôts et les taxes. En sa qualité de responsable du traitement, la requérante est également tenue d’observer le RGPD lors du traitement de données à caractère personnel et de communiquer ces données au défendeur. Cependant, la
juridiction de renvoi ne s’enquiert pas de la portée du traitement des données qui est exigé de la requérante pour exécuter la demande en cause. En réalité, elle n’a posé aucune question concernant d’éventuelles obligations de la requérante, découlant du RGPD, dans le cadre de l’exécution de ce traitement.
49. En retenant tout particulièrement le défendeur comme étant celui qui assume des obligations en application du RGPD, la juridiction de renvoi paraît être préoccupée par la base (juridique) du traitement au sens de l’article 6, paragraphe 3, du RGPD, c’est-à-dire par l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, tel que le défendeur l’a mis en œuvre par ses demandes d’informations.
50. En résumé, la question-clé qui sous-tend chacune des neuf questions posées par la juridiction de renvoi paraît être celle de la portée et des conditions des transferts de données à caractère personnel entre deux responsables du traitement successifs ( 27 ). Quelles sont les dispositions du RGPD, si tant est qu’il en contienne, qui régissent les relations entre responsables du traitement successifs ? Le RGPD comporte-t-il des limites (matérielle ou temporelle) à la portée et au type de transferts
de données à caractère personnel entre deux responsables du traitement, qui sont en l’occurrence une entreprise privée et une autorité publique ? Toutes ces interrogations se rapportent dûment à la base juridique de l’obtention de données à caractère personnel et ne concernent pas réellement l’opération de traitement.
3. Obligations spécifiques découlant du RGPD ?
51. Le RGPD a trait principalement à la protection des données à caractère personnel des personnes concernées et aux rapports entre ces personnes et toute entité traitant leurs données. À cette fin, le RGPD établit les droits des personnes concernées et les obligations des responsables pertinents du traitement dans le cadre du traitement de données à caractère personnel.
52. Une telle logique réglementaire se concentre sur les données ainsi que sur les entités qui accèdent à ces données et y travaillent. Le RGPD contient très peu de dispositions qui règlent directement et expressément les rapports entre entités traitant des données ( 28 ). Certes, le RGPD a indirectement des effets sur ces rapports. Il oblige toute entité ultérieure qui obtient les données à protéger ces données ainsi que les droits des personnes concernées. De ce point de vue, le RGPD fixe
effectivement certaines conditions pour la divulgation des données et les transferts de données. Toutefois, cela ne signifie certainement pas que le RGPD réglementerait directement les rapports entre ces entités.
53. En quelque sorte, si des données devaient être considérées comme des biens, la logique réglementaire du RGPD serait alors analogue à celle d’un régime spécifique de droit public pour certains types de biens (précieux, artistiques, historiques). Un régime de ce type impose certaines limitations à l’égard de ces biens : comment ils peuvent être fabriqués, comment ils doivent être utilisés, dans quelles conditions ils peuvent être modifiés, conservés, revendus ou démolis. Un tel régime spécifique
protège les biens et, de ce fait, il lie indirectement tout propriétaire ou détenteur successif de ceux‑ci. Il n’empêche que, en soi, ce régime spécifique reste attaché aux biens. Il ne règle ni les accords privés en application desquels ces biens pourraient être vendus entre deux parties privées ni les conditions dans lesquelles ils pourraient ou devraient être cédés d’une entité privée à une entité publique. Réglementer les biens n’est pas réglementer le titre de propriété sous‑jacent de ces
biens ou le commerce de ceux-ci.
54. Le RGPD ne peut raisonnablement être interprété qu’en clarifiant sa logique réglementaire et en se focalisant sur l’opération de traitement spécifique en tant que point de départ des obligations potentielles découlant de cet instrument. Autrement, le RGPD serait toujours applicable, alors que, quelque créative qu’en soit la lecture, il ne contiendrait tout simplement aucune disposition régissant la question spécifique posée. De telles affaires auront pour résultat inévitable que le RGPD ne
s’oppose pas à certaines législations ou pratiques nationales. Or, cette « absence d’opposition » ne sera pas nécessairement due au fait que les régimes nationaux seraient en principe légaux, mais plutôt au fait qu’une question de cet ordre n’est tout bonnement pas réglementée par le RGPD, même si, d’une façon ou d’une autre, elle touche à des données à caractère personnel.
55. La jurisprudence de la Cour connaît de tels « faux positifs » concernant des obligations très diverses de divulguer des données que des législations nationales ont imposées pour différentes raisons. Là aussi, pour la plupart, ces cas ne concernent pas une opération en cours bien précise de traitement mais, au contraire, la question en amont de la base juridique d’une telle opération future. Ces cas vont d’une action civile intentée pour faire appliquer les droits d’auteur ( 29 ) à la gestion
correcte de fonds publics ( 30 ) ou à la sauvegarde de la sécurité nationale ( 31 ). Parmi les exemples de cet ordre, on peut ranger les affaires ayant donné lieu à l’arrêt Rigas satiksme ( 32 ), à l’arrêt Promusicae ( 33 ), à l’arrêt Bonnier ( 34 ) ou à l’arrêt J & S Service ( 35 ).
56. Dans toutes ces situations, le RGPD était assurément applicable en ce qui concerne les droits des personnes concernées à l’égard du ou des responsables du traitement dans le cadre d’opérations spécifiques de traitement qui venaient d’avoir lieu ou qui allaient avoir lieu. Or, à nouveau, la logique réglementaire du RGPD et le champ d’application qui est le sien doivent suivre le flux des données et veiller à la protection des données à caractère personnel dans le cadre d’opérations de traitement.
Le RGPD n’a pas pour objet de réglementer le moindre rapport en amont entre différentes entités susceptibles d’être en possession de ces données, y compris pourquoi et comment elles pourraient entrer en possession de celles-ci. En d’autres termes, le RGPD ne confère aucun « droit » à un responsable du traitement vis-à-vis d’un autre responsable du traitement.
57. Cela ne signifie pas pour autant que de tels aspects ne sont pas régis par le droit. Ils le sont, mais ce par d’autres instruments, qui visent principalement à assurer le respect du droit. C’est en premier lieu dans ces instruments que l’on trouve la base juridique du traitement qui est requise par l’article 6, paragraphe 3, de ce règlement. S’agissant de transferts obligatoires de données à caractère personnel, ces transferts sont souvent prévus en effet, à vrai dire logiquement, dans des
« instruments assurant le respect du droit » – soit du droit de l’Union ( 36 ), soit du droit national. S’agissant de transferts volontaires de telles données, pour autant que cela soit possible et que le régime de droit public que constitue le RGPD l’autorise, la base de ces transferts sera le droit national des affaires ou des contrats, en fonction des rapports entre responsables successifs du traitement.
58. Eu égard à ces clarifications, j’estime que la présente affaire ne concerne pas (encore) la moindre opération de traitement. Elle concerne la base juridique pour ce traitement, qui est une question à laquelle le RGPD ne fait que se référer sans toutefois la régler lui‑même directement. Cela étant dit, et dans un souci d’aider pleinement la juridiction de renvoi, j’exposerai toutefois, dans la partie suivante des présentes conclusions, le cadre de base découlant du RGPD qui sera applicable à
l’opération de traitement une fois qu’elle aura été effectuée par le responsable du traitement, l’entreprise privée (B). L’objet du RGPD est de protéger la personne concernée et non pas une entreprise privée à l’encontre d’une ingérence publique dans sa liberté d’entreprise ou dans son droit de propriété sous la forme d’une exploitation de données. Cela ne veut pas dire qu’une telle question ne saurait donner lieu à une préoccupation légitime, mais plutôt qu’elle peut difficilement être régie
par le RGPD (C).
B. (Base juridique pour) les transferts de données à caractère personnel à des autorités publiques
59. Ce qui suit est une analyse assez générale concernant la base juridique du traitement de données que la requérante aurait à effectuer pour exécuter la demande d’informations que la défenderesse lui a adressée. À cet égard, la disposition pertinente est probablement l’article 6 du RGPD et, en particulier, les paragraphes 1 et 3 de cet article, lus à la lumière du considérant 45.
60. À titre liminaire, il convient de préciser que la Cour n’a reçu aucune information spécifique relative à d’autres règles nationales applicables en matière de protection des données dans des circonstances comme celles de l’affaire au principal. En outre, elle n’a pas reçu non plus la moindre information quant à savoir si, hormis l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, il existe d’autres actes lettons de portée générale (par exemple, un arrêté ou des lignes directrices
de mise en œuvre) qui régleraient plus en détail l’obligation en cause pour les prestataires de services (publicitaires sur Internet) de communiquer certaines données aux autorités fiscales. Qui plus est, de manière générale, la Cour ne dispose que de très peu d’informations sur le cadre juridique letton de mise en œuvre du RGPD.
61. De surcroît, il n’a pas été précisé si l’article 23, paragraphe 1, sous e), du RGPD a été mis en œuvre d’une quelconque façon en droit letton. La question de savoir si cette disposition du droit de l’Union a ou non été mise en œuvre ne détermine pas la légalité de la demande de transfert des informations, mais elle serait pertinente pour déterminer la portée et la nature des obligations qui incomberaient à un responsable ultérieur du traitement (une autorité publique) à l’égard des personnes
concernées, ainsi que pour déterminer les obligations du responsable initial du traitement et les informations que ce dernier devra fournir à ces personnes concernées.
62. Partant, l’analyse qui suit est inévitablement quelque peu générale. J’aborderai tout d’abord les principes qui découlent de l’article 6 du RGPD pour le traitement futur à effectuer par une entreprise privée en vue de se conformer à une demande de données qu’une autorité publique lui a adressée, et ce sur le plan de la finalité de tels transferts de données (1), ainsi que de leur portée et de leur durée (2). Je me pencherai ensuite sur la base juridique de tels transferts, car les exigences
concernant cette base deviendront plus claires une fois que les aspects susmentionnés auront été examinés (3).
1. La finalité
63. En principe, la finalité générale qui amène l’autorité fiscale à demander la communication des données à caractère personnel dans l’affaire au principal est indubitablement légitime. En effet, assurer la perception correcte de l’impôt et détecter d’éventuelles atteintes à l’obligation de le payer peut certainement relever des types d’objectifs et finalités légitimes de traitement de données en vertu tant du paragraphe 1 que du paragraphe 3 de l’article 6 du RGPD ( 37 ).
64. Ce qui est décisif dans la présente affaire est le degré d’abstraction nécessaire pour l’énonciation d’un tel but. À cet égard, il semble exister une certaine confusion entre deux types de buts spécifiques : d’une part, rechercher certaines sortes d’informations (afin de détecter des infractions à la loi) et, d’autre part, vérifier le fait que certaines infractions ont eu lieu (et demander la divulgation de données spécifiques pour confirmer cette supposition).
65. La nature des deux types de transfert de données (et donc leur portée) doit nécessairement être différente. La recherche et la détection sont sous-tendues par une logique ex ante, qui est générale et largement indéterminée quant aux personnes concernées précisément. Si le but est de détecter des infractions éventuelles, alors le ratissage métaphorique devra être large. En revanche, la logique qui sous-tend la vérification d’atteintes éventuelles au moyen de la divulgation de données pertinentes
peut être beaucoup plus nuancée et ciblée. Dans ce cas, la logique est bien plus ex post et elle est orientée sur la vérification de soupçons qui s’attachent généralement à une personne concernée déjà identifiable.
66. À mon sens, l’article 6 du RGPD autorise les deux scénarios. Cela étant dit, l’article 6, paragraphe 3, du RGPD requiert une base juridique claire pour l’un comme pour l’autre de ces deux types de transferts de données.
67. Cependant, eu égard au libellé de l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, je comprends les hésitations de la juridiction de renvoi dans le cadre de la présente affaire. Dans la formulation qui était apparemment en vigueur au moment où la juridiction de renvoi a présenté sa demande de décision préjudicielle, cette disposition précisait que, à la demande de l’administration fiscale lettonne, les prestataires de services publicitaires sur Internet pouvaient être tenus de
fournir des informations concernant les contribuables (respectifs).
68. Il apparaît ainsi que, en l’espèce, telle qu’elle est énoncée dans la base juridique pertinente, la finalité de la divulgation ressemble à celle du second des scénarios exposés plus haut : vérifier certaines informations concernant des contribuables spécifiques. Or, le fisc semble avoir utilisé cette base juridique pour ce qui paraît être une demande de transferts (illimités) de données ou même une collecte de données à foison, pour effectuer une opération générale de recherche et de détection
qui relève du premier des scénarios exposés ci‑dessus. Ici réside la dissonance logique qui semble être à la base de la présente affaire au niveau national et qui suscite la confusion aussi bien quant à la proportionnalité d’une telle mesure (2) qu’à sa base juridique appropriée (3).
2. La portée et la durée
69. Sous l’angle de la proportionnalité, tout comme d’ailleurs celui de la « minimisation », l’examen porte sur le rapport entre les buts (déclarés) et les moyens (choisis). Dans la présente affaire, le problème est que, en fonction du choix de l’un ou de l’autre but dans le cadre des deux scénarios (idéaux ( 38 )) qui viennent d’être exposés, l’appréciation de la proportionnalité risque de ne pas être identique.
70. Dans le cadre d’un objectif de « recherche et détection », les autorités publiques ratisseront le plus largement possible pour veiller à pouvoir trouver les informations pertinentes. Cela peut comporter le traitement d’une vaste quantité de données. En effet, la nécessité d’obtenir et de traiter des ensembles plus vastes de données est inhérente à ce type de recherche générale et indéterminée d’informations. Dans ce scénario, la proportionnalité et la minimisation du traitement de données ne
peuvent réellement que concerner le type des données qui sont demandées là où les informations nécessaires sont potentiellement susceptibles d’être trouvées ( 39 ).
71. Dans le cadre d’un objectif de « vérification », où les autorités publiques ont besoin d’obtenir des éléments de preuve relatifs au contenu d’une opération spécifique ou à un ensemble d’opérations, l’appréciation de la proportionnalité peut naturellement être plus rigoureuse. La demande de l’autorité fiscale peut alors seulement porter sur des opérations spécifiques, circonscrites dans un délai spécifique, afin de procéder à des vérifications ex post, généralement à l’égard d’un ou de plusieurs
contribuables déterminés. Les demandes d’informations sont donc susceptibles d’être adaptées aux données spécifiques qui contiennent ce type d’informations.
72. La logique à la base du considérant 31 du RGPD, dans la mesure où je suis à même d’en discerner une, paraît se rapporter uniquement à ce dernier scénario. La deuxième phrase de ce considérant, que les parties intéressées ont invoquée et abondamment analysée, en particulier la Commission, précise que les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et qu’elles ne devraient pas
porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers.
73. Or, selon moi, il n’est pas possible de tirer hors de son contexte un considérant d’un règlement (ou une partie de ce considérant), de le traiter comme une disposition autonome et obligatoire, sans même que le texte juridiquement contraignant de cet instrument ne s’en fasse l’écho ( 40 ), et de proclamer sur cette base que tout transfert de données à caractère personnel à des autorités publiques ne peut avoir lieu que dans ces conditions. Je ne peux tout simplement pas me rallier à l’idée qu’une
partie du considérant 31 du RGPD, prise isolément, interdise tous les transferts de données à plus grande échelle aux autorités publiques, même ceux qui ont une base juridique appropriée (en droit national et, le cas échéant, en droit de l’Union) et respectent toutes les dispositions contraignantes du RGPD.
74. Dans le cadre de la présente affaire, le gouvernement letton a soutenu que la quantité d’informations demandées peut être considérée comme raisonnable dans la mesure où la demande de communication ne comprend que les annonces publiées dans la section « Voiture particulière », qui est l’une des 112 sections du site Internet concerné qu’exploite la requérante. Les gouvernements belge et espagnol ont ajouté que, selon eux, le problème n’était pas la quantité de données, mais plutôt le type des
données demandées.
75. Je suis du même avis.
76. La proportionnalité d’une recherche et d’une détection ex ante implique un « contrôle de la qualité » en ce qui concerne le type des données demandées. Ce n’est que dans le cadre de la vérification ex post de certains faits que le « contrôle de la quantité » peut être pleinement déployé. La plupart des moyens de contrôle ou de surveillance des données seraient en pratique exclus s’il devait en être différemment.
77. Pour autant qu’il existe une base juridique appropriée en droit national ou dans le droit de l’Union, une autorité fiscale nationale peut, en principe, demander toutes les données nécessaires pour le type d’examen qu’elle doit effectuer, sans aucune limitation dans le temps. La seule limite découlant du RGPD serait la proportionnalité en ce qui concerne le type de données demandées. Ainsi que le relève à juste titre le gouvernement grec, les demandes d’informations devraient être limitées au
type de données relatives à l’activité économique des contribuables, par opposition à celles qui se rapportent à leur vie privée.
78. Par exemple, au cas où la finalité avancée est de détecter les revenus non déclarés des ventes de voitures d’occasion, l’autorité fiscale n’a pas le droit de demander également des informations quant à savoir si la personne qui vend la voiture a ou non des cheveux roux, si elle suit un régime alimentaire particulier ou si elle dispose d’une piscine. Le type d’informations demandées doit donc clairement se rapporter à la recherche et à l’enquête qui ont été communiquées.
79. En dehors de cela, c’est à la juridiction nationale qu’il appartient de procéder à l’appréciation de la proportionnalité dans l’un ou l’autre des deux scénarios susmentionnés, à la lumière des circonstances factuelles et juridiques de chaque affaire ( 41 ). En somme, dans la présente affaire, la question qu’il faut se poser est de savoir si le type des données demandées est propre à fournir à la défenderesse les informations qui lui sont nécessaires pour réaliser l’objectif avancé.
3. La base juridique (pour le traitement futur)
80. Eu égard aux clarifications qui viennent d’être apportées, ce n’est qu’à présent que la question clé de la base juridique peut enfin être appréciée utilement. Bien sûr, les deux scénarios exposés dans les points qui précèdent (« recherche et détection » et « vérification ») exigent une base juridique en vertu de l’article 6, paragraphe 3, du RGPD pour que le traitement par la requérante ait lieu. Cette disposition permet expressément d’adapter spécifiquement l’application des règles générales du
RGPD, que ce soit par le droit de l’Union ou par le droit des États membres.
81. Toutefois, en tout état de cause, la base juridique prévue doit couvrir logiquement la finalité spécifique du traitement et le type spécifique de traitement qui est effectué dans le cadre de cette finalité. Il appartient à l’État membre ou à l’Union d’adopter, au titre de l’article 6, paragraphe 3, du RGPD, les dispositions spécifiques d’adaptation quant à la façon dont le traitement se fera exactement. En principe, plus les transferts de données sont généraux, étendus et permanents, plus la
base législative doit être solide, détaillée et explicite, car pareils transferts représentent une ingérence plus importante dans la protection des données. En revanche, plus les demandes de divulgation sont individualisées et limitées – d’ordinaire à l’égard seulement d’une ou d’un petit nombre de personnes concernées, ou encore à l’égard d’une quantité limitée de données –, plus ces demandes sont susceptibles d’être effectuées au niveau de requêtes administratives individuelles, la disposition
d’habilitation législative restant quant à elle plutôt large et générique.
82. Autrement dit, les deux niveaux de régulation, à savoir le niveau législatif et le niveau administratif, qui constituent en fin de compte la base juridique du traitement des données, opèrent conjointement. Au moins l’un des deux niveaux doit être suffisamment spécifique et adapté à un certain type demandé de données à caractère personnel ou à une certaine quantité demandée de telles données. Plus le niveau législatif structurel pour ces transferts de données est élaboré, moins il est nécessaire
que la requête administrative individuelle le soit. Le niveau législatif pourrait même être si détaillé et exhaustif qu’il serait complètement autosuffisant et immédiatement exécutoire. En revanche, plus le niveau législatif sera générique et vague, plus il s’imposera que la requête administrative individuelle donne des précisions, y compris une formulation claire de l’objectif qui en circonscrira ainsi la portée.
83. Ce point fournit indirectement une réponse au problème que la juridiction de renvoi soulève au titre de la proportionnalité, problème qu’il serait effectivement préférable d’aborder ici en déterminant si les autorités fiscales peuvent formuler des demandes de données non limitées dans le temps. Selon moi, en vertu du RGPD, elles le peuvent. Toutefois, la question plus pertinente devrait être de savoir si elles disposent d’une base juridique appropriée en droit national pour ce qui équivaut
essentiellement à un transfert de données continu et permanent. L’article 6, paragraphe 3, du RGPD ne s’y oppose pas, tant que de tels transferts ont une base claire ainsi qu’une durée claire en droit national. À nouveau, le considérant 31 du RGPD n’apporte guère d’eau au moulin à cet égard ( 42 ). Je vois peu de sens pratique à lire ce considérant comme obligeant effectivement les autorités administratives à émettre continuellement (que ce soit chaque jour, chaque mois ou chaque année) des
demandes individuelles identiques afin d’obtenir ce qu’elles auraient pu déjà obtenir au titre de la législation nationale.
84. Dans la présente affaire, la base juridique du traitement paraît être constituée tant par l’article 15, paragraphe 6, de la loi sur les impôts et les taxes que par les demandes spécifiques de communication de données formulées par l’administration fiscale. Il apparaît ainsi qu’il existe une base juridique double, comportant, d’une part, une disposition d’habilitation législative générale et, d’autre part, l’application administrative spécifique ciblée de cette disposition.
85. Dans l’ensemble, une telle base juridique double paraît être suffisante pour justifier le traitement, par la requérante, de données à caractère personnel aux fins de leur transfert à une autorité publique au titre de l’article 6, paragraphe 1, sous c), et de l’article 6, paragraphe 3, du RGPD. Même si la législation nationale habilitant les autorités fiscales à demander des informations demeure plutôt générale, les demandes spécifiques de données paraissent largement viser un certain type de
données malgré la quantité éventuellement importante de celles-ci.
86. Toutefois, en définitive, il incombe à la juridiction nationale de vérifier, en toute connaissance du droit national, y compris de toute autre règle nationale de mise en œuvre non mentionnée au cours de la présente procédure, si le traitement demandé à la requérante dans l’affaire au principal remplit ou non les conditions que je viens d’exposer dans cette partie des présentes conclusions.
87. La question essentielle dans cette appréciation, qui exige une attention particulière, est de savoir si, en examinant la base juridique, l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, conjointement avec les demandes spécifiques d’informations, se conforme à l’exigence de prévisibilité ( 43 ). La réglementation qui autorise des transferts de données doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et doit imposer des
exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus ( 44 ).
88. Partant, la base juridique dans son ensemble (les niveaux législatif et administratif combinés) doit être formulée avec une précision suffisante pour toutes les personnes concernées : les autorités publiques quant à ce qu’elles sont autorisées à demander, les entreprises quant à ce qu’elles sont autorisées à fournir et, surtout, les personnes concernées de manière telle qu’elles sachent qui pourrait avoir accès à leurs données et à quelles fins. Il convient de rappeler que l’information relative
au traitement des données constitue effectivement une exigence essentielle du RGPD. Les personnes concernées doivent avoir connaissance de l’existence de ce traitement et cette information est la condition nécessaire à l’exercice d’autres droits, qui sont ceux d’accès, d’effacement ou de rectification ( 45 ).
89. À moins que l’article 23 du RGPD n’ait été mis en œuvre d’une quelconque manière en droit national pour limiter les droits que les personnes concernées tirent du chapitre III du RGPD, il résulte des articles 13 et 14 de ce règlement que le responsable du traitement doit fournir des informations à la personne concernée. Dans le cadre de transferts de données successifs, il pourrait être difficile de déterminer à qui incombe l’obligation d’information ( 46 ). En outre, sur le plan pratique, en
l’absence de toute limitation adoptée au titre de l’article 23, paragraphe 1, du RGPD, laquelle doit remplir en droit national la condition de l’article 23, paragraphe 2, du RGPD, une autorité publique qui a obtenu les données pourrait être dans l’obligation de fournir les informations pertinentes visées à l’article 14 du RGPD à toutes les personnes concernées. S’il n’existe aucune base juridique claire et prévisible permettant, en définitive, que de tels transferts de données aient lieu, il
peut difficilement être attendu du responsable du traitement qui a collecté les données d’en informer déjà la personne concernée conformément à l’article 13 du RGPD.
90. En conclusion, je considère donc que l’article 6, paragraphe 1, sous c), et l’article 6, paragraphe 3, du RGPD ne s’opposent pas à des règles nationales prévoyant, sans limite dans le temps, une obligation pour des prestataires de services publicitaires sur Internet de communiquer certaines données à caractère personnel à une autorité fiscale, pour autant qu’il existe une base juridique claire en droit national pour un tel type de transfert de données et que les données demandées soient propres
et nécessaires à assurer que l’autorité fiscale mène à bien ses missions officielles.
C. Une coda : la question qui n’a pas été soulevée en l’espèce
91. Il ne m’appartient guère de faire des conjectures sur les motivations véritables des parties devant la juridiction nationale. Je continuerai donc à entretenir l’espoir qu’il existe de bons Samaritains, qui agissent de manière désintéressée pour prendre la défense d’autrui. Pourquoi une société privée ne pourrait-elle pas purement et simplement défendre les droits des personnes concernées dont elle a recueilli les données à caractère personnel ?
92. Même si l’on ne peut que se réjouir de l’engagement d’entreprises commerciales dans la cause de la protection des données, je présume que d’autres entreprises peuvent avoir aussi des raisons différentes pour vouloir s’opposer à des transferts, édictés par les pouvoirs publics, des données à caractère personnel qu’elles recueillent. L’une de ces raisons pourrait se rapporter aux frais qu’implique un tel travail. Les autorités publiques peuvent-elles être autorisées à externaliser effectivement
une partie de l’exercice de l’administration publique en forçant les entreprises privées à supporter les coûts de l’exercice de ce qui est essentiellement de l’administration publique ? Cette question prend toute son importance dans les cas de transferts de données permanents à grande échelle, supposés être effectués par des entreprises privées pour le bien commun sans aucune compensation ( 47 ). D’autres raisons pourraient davantage être d’ordre commercial. En supposant pour un instant, bien
entendu sur un plan purement hypothétique, que les gens éprouvent en général peu d’enthousiasme à payer des impôts, il ne serait pas exagéré d’imaginer également que, parmi ces gens, certains pourraient choisir, pour mettre en vente leurs voitures d’occasion, d’autres solutions qu’un site Internet qui communiquerait ultérieurement à l’autorité fiscale les informations qu’elle implique.
93. La recherche d’un équilibre à ménager entre tous les intérêts en présence dans une telle situation n’a rien de simple. D’une part, le fait que les pouvoirs publics demandent à des entreprises privées des données qui doivent être préparées et présentées conformément à des exigences très précises que ces pouvoirs publics ont formulées pourrait se rapprocher dangereusement d’une externalisation forcée de l’exercice de l’administration publique. Tel pourrait être particulièrement le cas en ce qui
concerne les données qui sont, par ailleurs, librement disponibles et que les entités publiques auraient pu recueillir elles‑mêmes moyennant un petit effort technique. D’autre part, ainsi que l’a souligné judicieusement le gouvernement belge en mettant en avant la portée plus large de la situation en cause dans l’affaire au principal, une réponse légèrement plus nuancée serait peut-être nécessaire dans les cas de diverses plateformes d’économie partagée ou dans d’autres scénarios où les
autorités publiques demandent à avoir accès à des données essentielles pour la finalité publique légitime avancée, mais qui ne sont pas en libre accès et que les autorités publiques ne sont donc pas à même de recueillir elles-mêmes. Toutefois, même en pareilles circonstances, la problématique de la compensation éventuelle reste ouverte.
94. Je vois certainement de telles problématiques se profiler sur la toile de fond de l’affaire au principal. Il n’en demeure pas moins que trouver un équilibre raisonnable pour de tels cas devrait avant tout se faire au niveau national ou au niveau de l’Union lors de l’adoption de la législation pertinente prévoyant la base juridique d’un tel type de transfert. Cela ne devrait pas faire l’objet d’une intervention juridictionnelle, a fortiori dans une affaire où la juridiction de renvoi n’a même pas
soulevé explicitement l’une de ces questions. Par ailleurs, il y a au moins deux autres raisons qui expliquent pourquoi la présente affaire ne se prête pas à ce type de discussion.
95. Premièrement, comme toutes les questions qui touchent d’une manière ou d’une autre aux flux des données à caractère personnel mais sans vraiment avoir trait à la protection des droits des personnes concernées, le RGPD ne règle tout simplement pas de telles problématiques de manière spécifique. La problématique de la protection juridique des responsables du traitement des données – des entreprises privées face à l’ingérence éventuellement illégale ou disproportionnée dans leur liberté
d’entreprise, leur éventuel droit de propriété ( 48 ) ou même leur droit potentiel à une compensation équitable pour les données transférées – n’est pas une question que le RGPD règle.
96. Deuxièmement, dès lors que la base juridique d’un tel transfert de données n’est pas prévue par le droit de l’Union ( 49 ), la question d’une compensation éventuelle de pareils transferts imposés ne saurait guère constituer une question relevant du droit de l’Union. À nouveau, cela ne veut pas dire que de telles questions ne peuvent pas se poser, même sur le plan de la protection des droits fondamentaux (des responsables du traitement concernés). Toutefois, ces questions devraient alors être
dûment abordées par les juridictions de l’État membre qui impose déjà ces transferts. Toute affaire de cet ordre devrait donc être portée devant une juridiction nationale (constitutionnelle).
V. Conclusion
97. Je propose à la Cour de répondre aux questions préjudicielles posées par l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie) de la manière suivante :
L’article 6, paragraphe 1, sous c), et l’article 6, paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ne s’opposent pas à des règles nationales prévoyant, sans limite dans le temps, une obligation pour des prestataires de
services publicitaires sur Internet de communiquer certaines données à caractère personnel à une autorité fiscale, pour autant qu’il existe une base juridique claire en droit national pour un tel type de transfert de données et que les données demandées soient propres et nécessaires à assurer que l’autorité fiscale mène à bien ses missions officielles.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : l’anglais.
( 2 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 3 ) À commencer par les exceptions de la directive 95/46, voir arrêts du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 41), et du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, points 37 à 48). Voir plus récemment, en ce qui concerne le RGPD, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, points 61 à 72).
( 4 ) Voir, entre autres, arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, points 29 à 39). Voir, cependant, arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 74).
( 5 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 6 ) Arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, points 18 à 23).
( 7 ) Arrêt du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, points 12 à 17).
( 8 ) Arrêt du 10 décembre 2020, J & S Service (C‑620/19, EU:C:2020:1011, points 15 à 29).
( 9 ) Et ce contrairement à ce qui semble être la position de la juridiction de première instance, l’Administratīvā rajona tiesa (tribunal administratif de district), qui a considéré que, pour ce stade du traitement des données, le responsable du traitement était la requérante (voir, plus haut, point 21 des présentes conclusions).
( 10 ) Voir, entre autres, arrêts du 29 juin 2010, Commission/Bavarian Lager (C‑28/08 P, EU:C:2010:378, point 69), et du 19 avril 2012, Bonnier Audio e.a. (C‑461/10, EU:C:2012:219, point 52).
( 11 ) Voir, entre autres, dans le cadre de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), arrêts du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54, point 45), et du 6 octobre 2020, Privacy International (C‑623/17, EU:C:2020:790, point 41).
Voir, également, dans le cadre d’un transfert de données à un pays tiers, arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 45).
( 12 ) Voir, entre autres, arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535, point 68).
( 13 ) Arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, points 39 à 47).
( 14 ) Arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, points 61 à 72).
( 15 ) Voir, à cet égard, article 3, point 7, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du
Conseil (JO 2016, L 119, p. 89).
( 16 ) Possibilité théorique future qui n’est guère déterminante pour définir ex ante le champ d’application normatif d’un instrument du droit de l’Union. Voir, également, mes conclusions dans les affaires jointes Ministerul Public - Parchetul de pe lângă Înalta Curte de Casaţie şi Justiţie – Direcţia Naţională Anticorupţie e.a. (C‑357/19 et C‑547/19, EU:C:2021:170, points 109 à 115), concernant un argument similaire quant au champ d’application de l’article 325, paragraphe 1, TFUE.
( 17 ) Voir, entre autres, en ce sens, arrêts du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 30), et du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 51). Dans cette dernière affaire, la Cour a jugé que la collecte de données à caractère personnel effectuée par des membres d’une communauté religieuse dans le cadre d’une activité de prédication de porte-à-porte et les traitements ultérieurs de ces données peut relever du champ d’application matériel du RGPD.
( 18 ) Voir, entre autres, arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, point 62), où la Cour a jugé que les réponses écrites fournies par un candidat lors d’un examen professionnel et les éventuelles annotations de l’examinateur relatives à ces réponses constituent des données à caractère personnel.
( 19 ) Voir, entre autres, arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 34), et du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, points 28 à 44), où la Cour a jugé que la notion de « responsable du traitement » englobe l’administrateur d’une « page fan » hébergée sur un réseau social.
( 20 ) Voir arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 72 et 74).
( 21 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629).
( 22 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 67).
( 23 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 74).
( 24 ) Voir, pour une illustration récente d’un traitement par des autorités publiques, arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535, points 64 et 65).
( 25 ) Voir, entre autres, arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 57). Voir, également, en ce sens, arrêts du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638, point 30), et du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 104).
( 26 ) Ainsi que le prévoit en particulier l’article 13, paragraphe 2, du RGPD, toutefois dans un autre contexte, à savoir celui des informations à fournir.
( 27 ) Par souci d’exhaustivité, j’ajouterais que semblent être exclues, sur la base des faits présentés par la juridiction de renvoi, d’autres hypothèses que prévoit le RGPD, telles que la situation de responsables conjoints du traitement que seraient l’administration fiscale et l’entreprise privée à ce stade donné du traitement (article 26), ou encore la situation interprétée quelque peu comme étant celle d’un rapport de fait entre un responsable du traitement et un sous-traitant (article 28).
( 28 ) Hormis les deux exceptions notables qui figurent aux articles 26 et 28 du RGPD et qui sont mentionnées dans la note en bas de page précédente ou, par exemple, l’article 19 du RGPD. Toutefois, à l’égard de ces dispositions également, l’inclusion réglementaire de ces catégories pourrait toujours être considérée comme une protection des données veillant essentiellement à ce que le responsable du traitement ne puisse pas éluder sa responsabilité et y échapper soit en partageant les données, soit
en externalisant leur traitement.
( 29 ) Voir, entre autres, arrêt du 24 novembre 2011, Scarlet Extended (C‑70/10, EU:C:2011:771).
( 30 ) Arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294).
( 31 ) Voir, entre autres, arrêts du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970), et du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791).
( 32 ) Arrêt du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336).
( 33 ) Arrêt du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54).
( 34 ) Arrêt du 19 avril 2012, Bonnier Audio e.a. (C‑461/10, EU:C:2012:219).
( 35 ) Arrêt du 10 décembre 2020, J & S Service (C‑620/19, EU:C:2020:1011).
( 36 ) Voir, pour le droit de l’Union, entre autres, article 4 de la précédente directive 2006/24/CE du Parlement européen et du Conseil, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE (JO 2006, L 105, p. 54), ou article 8 de la directive (UE) 2016/681 du Parlement européen et du Conseil, du 27 avril 2016,
relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (JO 2016, L 119, p. 132).
( 37 ) Voir, entre autres, en ce sens, arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 108), en ce qui concerne l’établissement d’une liste par une autorité publique aux fins de la perception de l’impôt et de la lutte contre la fraude.
( 38 ) Idéaux en ce sens que les deux scénarios exposés représentent les deux pôles d’un axe imaginaire, et non des cases bien scellées sur un plan herméneutique.
( 39 ) Ce qui souligne une fois encore la nature véritable de cette affaire, qui est plus proche des cas où la Cour a été appelée à examiner différentes hypothèses de conservation de données ou de transferts de données à des pays tiers, plutôt que des cas qui se rapportent à une « véritable » affaire afférente au RGPD (voir, plus haut, points 56 et 57 des présentes conclusions, ainsi que la jurisprudence citée aux notes en bas de page 11, 31 et 44).
( 40 ) Voir, entre autres, arrêts du 12 juillet 2005, Alliance for Natural Health e.a. (C‑154/04 et C‑155/04, EU:C:2005:449, points 91 et 92), du 21 décembre 2011, Ziolkowski et Szeja (C‑424/10 et C‑425/10, EU:C:2011:866, points 42 et 43), ou du 25 juillet 2018, Confédération paysanne e.a. (C‑528/16, EU:C:2018:583, points 44 à 46 et 51).
( 41 ) Voir, également, en ce sens, arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 113).
( 42 ) Voir, plus haut, points 72 et 73 des présentes conclusions.
( 43 ) Voir, entre autres, en ce sens, arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, points 77 et 79).
( 44 ) Voir, entre autres, plus récemment, arrêt du 6 octobre 2020, Privacy International (C‑623/17, EU:C:2020:790, point 68).
( 45 ) Voir, en ce sens, arrêt du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638, point 33).
( 46 ) Voir, en ce sens, arrêts du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638, points 34 à 38), et du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 69).
( 47 ) Voir, pour une problématique similaire dans le contexte des coûts de conservation de données, ordonnance du 26 novembre 2020, Colt Technology Services e.a. (C‑318/20, non publiée, EU:C:2020:969).
( 48 ) Dans des économies modernes de plus en plus dominées par les données, celles-ci vont tôt ou tard être considérées comme un bien, voire comme un droit patrimonial, comme l’ont été de nombreux biens immatériels de valeur économique, y compris divers types de propriété intellectuelle. Voir, à cet égard, la position déjà ouverte, dans la jurisprudence de la Cour européenne des droits de l’homme, quant à l’inclusion de différents types de « biens » dans le champ d’application de l’article 1er du
premier protocole additionnel à la convention de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, ainsi que le démontre, entre autres, l’arrêt de cette juridiction du 11 janvier 2007, Anheuser-Busch Inc c. Portugal (CE:ECHR:2007:0111JUD007304901, § 63 à 65).
( 49 ) À la différence des cas où les transferts de données, la conservation de données ou le traitement de données sont prévus par un instrument du droit de l’Union, tels que ceux mentionnés à titre d’exemple dans la note en bas de page 36. Soit dit en passant, la proposition initiale de directive du Parlement européen et du Conseil sur la conservation de données traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, et modifiant la directive
2002/58/CE {SEC(2005) 1131} /* COM/2005/0438 final - COD 2005/0182, déposée par la Commission, paraissait l’admettre indirectement à l’article 10 et dans le considérant 13 tels qu’initialement déposés. Ces dispositions n’ont cependant pas été maintenues dans la version adoptée de la directive.
