CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MICHAL BOBEK
présentées le 6 octobre 2021 ( 1 )
Affaire C‑245/20
X
Z
contre
Autoriteit Persoonsgegevens
[demande de décision préjudicielle formée par le rechtbank Midden-Nederland (tribunal des Pays-Bas du Centre, Pays-Bas)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Compétence de l’autorité de contrôle – Opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle – Communication de pièces de procédure à un journaliste »
I. Introduction
1. « La publicité est l’âme de la justice. Elle est la plus grande incitation à l’effort, et la meilleure des protections contre l’inconvenance. [...] C’est grâce à la seule publicité que la justice devient la mère de la sécurité. Par la publicité, le temple de la justice est converti en une école de premier ordre, où les branches les plus importantes de la morale sont mises en œuvre. » ( 2 )
2. Bien qu’ils aient été écrits à l’aube du xixe siècle ( 3 ), les mots de Jeremy Bentham n’ont rien perdu de leur force. Certes, le contexte était alors très différent. La transparence et la publicité de la justice devaient être défendues non seulement à l’égard de certains monarques éclairés (et, le plus souvent, à l’égard de monarques absolutistes peu éclairés), mais aussi, ou plus particulièrement, par rapport à un certain nombre de visions médiévales singulières, mais toujours persistantes, de
la nature du droit et de la procédure judiciaire ( 4 ).
3. Il n’a pas été explicitement indiqué, dans l’affaire au principal, que des temples de la justice aient été convertis en écoles. Il apparaît néanmoins que, aux Pays-Bas, le principe de la transparence de la justice se traduit par la possibilité pour la presse d’avoir accès, à la date de l’audience, à certaines pièces de procédure dans les affaires audiencées devant une juridiction ce jour-là. Cet accès a pour objet d’aider les journalistes à mieux rendre compte d’une affaire qui est jugée ( 5 ).
4. Les requérants en l’espèce sont des personnes physiques qui contestent cette politique. Ils soutiennent qu’ils n’ont pas consenti à la communication à un journaliste d’une sélection de pièces de procédure relatives à leur affaire, jugée devant le Raad van State (Conseil d’État, Pays-Bas). Les requérants ont fait valoir la violation de divers droits et obligations découlant du règlement (UE) 2016/679 (ci-après le « RGPD ») ( 6 ) devant l’autorité nationale de contrôle. Néanmoins, l’autorité de
contrôle défenderesse ne s’est pas estimée compétente pour examiner cette plainte. Selon elle, le traitement en cause a été effectué devant les juridictions nationales dans l’exercice de « leur fonction juridictionnelle », conformément à l’article 55, paragraphe 3, du RGPD.
5. C’est dans ce contexte que le rechtbank Midden-Nederland (tribunal des Pays-Bas du Centre, Pays-Bas) demande principalement à être éclairé sur le point de savoir si la communication à la presse de certaines pièces de procédure afin que les médias puissent mieux rendre compte d’une affaire jugée en audience publique constitue une activité des « juridictions dans l’exercice de leur fonction juridictionnelle », au sens de l’article 55, paragraphe 3, du RGPD.
II. Le cadre juridique
A. Le droit de l’Union
6. Le considérant 20 du RGPD énonce :
« Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans
l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux
obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données. »
7. Aux termes de l’article 2, paragraphe 1, de ce règlement :
« Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »
8. La notion de « traitement » est définie à l’article 4, point 2, du RGPD comme :
« [...] toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation,
l’effacement ou la destruction. »
9. L’article 6 dudit règlement, intitulé « Licéité du traitement », est libellé, dans sa partie pertinente, comme suit :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
[...] »
10. Aux termes de l’article 51, paragraphe 1, du RGPD :
« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »
11. Toutefois, aux termes de l’article 55, paragraphe 3, de ce règlement, « [l]es autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle ».
B. Le droit néerlandais
12. L’Uitvoeringswet AVG (loi mettant en œuvre le RGPD, ci-après l’« UAVG »), du 16 mai 2016, transpose le RGPD en droit néerlandais. Son article 6 confie à la défenderesse la mission de surveiller le respect du RGPD aux Pays-Bas. L’UAVG ne reprend pas l’exception prévue à l’article 55, paragraphe 3, du RGPD.
13. Le 31 mai 2018, le président de l’Afdeling bestuursrechtspraak van de Raad van State (section du contentieux administratif du Conseil d’État, Pays-Bas), les administrations judiciaires du Centrale Raad van Beroep (cour d’appel en matière de sécurité sociale et de fonction publique, Pays-Bas) et le College van Beroep voor het bedrijfsleven (cour d’appel du contentieux administratif en matière économique, Pays-Bas) ont adopté un règlement relatif au traitement des données à caractère personnel
devant les juridictions administratives. Ce règlement a institué l’AVG-commissie bestuursrechtelijke colleges (commission RGPD pour les juridictions administratives, Pays-Bas, ci-après la « commission RGPD »). Cette commission est chargée de conseiller le Raad van State (Conseil d’État), les administrations judiciaires du Centrale Raad van Beroep (cour d’appel en matière de sécurité sociale et de fonction publique) et le College van Beroep voor het bedrijfsleven (cour d’appel du contentieux
administratif en matière économique) quant au traitement des plaintes relatives au respect des droits garantis par le RGPD.
III. Les faits, la procédure nationale et les questions préjudicielles
14. Le 30 octobre 2018, l’audience relative à un litige de droit administratif opposant Z (ci-après le « citoyen Z ») au maire d’Utrecht (Pays-Bas) (ci-après le « maire M ») a eu lieu devant le Raad van State (Conseil d’État). Aux fins de ce litige, X (ci-après l’« avocat X ») a agi en qualité de mandataire du citoyen Z (ci-après, pris ensemble, les « requérants ») ( 7 ).
15. Après cette audience, et en présence de l’avocat X, le citoyen Z a été approché par une personne qui s’est présentée comme étant journaliste (ci-après le « journaliste J »).Ce journaliste disposait de plusieurs pièces de procédure relevant du dossier de l’affaire. Interrogé sur ces documents, le journaliste J a déclaré avoir eu accès à ces documents en vertu du droit d’accès au dossier accordé aux journalistes par le Raad van State (Conseil d’État).
16. Le même jour, l’avocat X a écrit au président de l’Afdeling bestuursrechtspraak van de Raad van State (section du contentieux administratif du Conseil d’État) (ci-après le « président P ») pour vérifier si l’accès au dossier avait été accordé ; dans l’affirmative, par qui ; et si des copies avaient été réalisées au su ou avec l’approbation du personnel du Raad van State (Conseil d’État).
17. Par lettre du 21 novembre 2018, le président P a répondu que le Raad van State (Conseil d’État) fournissait parfois aux journalistes des informations relatives aux audiences. Il le fait notamment en mettant ces informations à la disposition, pour consultation, des journalistes qui se trouvent dans le bâtiment ce jour-là afin de rendre compte d’une audience particulière. Ces informations consistent en une copie de la requête (ou de la requête en appel), du mémoire en défense et, lorsqu’il s’agit
d’une affaire en appel, de la décision du rechtbank (tribunal, Pays-Bas). Ces copies ne sont disponibles, pour consultation, que le jour de l’audience elle-même, de sorte que les informations ne sont ni envoyées ni partagées avec les médias à l’avance. Les documents pertinents ne peuvent pas quitter les locaux de la juridiction concernée et ils ne peuvent pas non plus être emportés. À la fin de la journée d’audience, les employés du service « Communication » du Raad van State (Conseil d’État)
détruisent les copies.
18. Le citoyen Z et l’avocat X ont adressé des demandes de mesures d’application à l’Autoriteit Persoonsgegevens (autorité de la protection des données, Pays-Bas). Cette autorité a décliné sa compétence et a transmis ces demandes à la commission RGPD.
19. La juridiction de renvoi explique que la politique adoptée par le Raad van State (Conseil d’État) en matière d’accès des journalistes implique que des tiers, qui ne sont pas parties à la procédure, ont accès à certaines données à caractère personnel concernant les parties à une procédure juridictionnelle et leurs éventuels mandataires. Ces pièces de procédure peuvent contenir des données à caractère personnel figurant, par exemple, dans l’en-tête d’un mandataire, qui peuvent permettre
d’identifier celui-ci. Elles peuvent également contenir une ou plusieurs formes (spécifiques) de données à caractère personnel concernant la partie requérante et/ou d’autres personnes, telles que des informations relatives au casier judiciaire, des informations commerciales ou des informations médicales.
20. En l’espèce, la communication des pièces de procédure en cause a impliqué que le journaliste J s’est vu accorder l’accès à la requête en appel, au mémoire en défense et à la décision de la juridiction inférieure. Il a ainsi eu accès à certaines données à caractère personnel concernant les requérants au principal, et en particulier au nom et à l’adresse de l’avocat X ainsi qu’au numéro d’identification national du citoyen Z.
21. La juridiction de renvoi considère qu’un tel accès aux pièces de procédure et la fourniture (temporaire) de copies de ces documents constituent un « traitement » de données à caractère personnel au sens de l’article 4, point 2, du RGPD. Elle relève qu’un tel traitement a eu lieu sans le consentement des requérants. Toutefois, afin de déterminer si l’autorité de la protection des données a effectivement pu conclure qu’elle n’était pas compétente pour contrôler la décision du Raad van State
(Conseil d’État) de permettre l’accès aux pièces de procédure en cause, la juridiction de renvoi doit interpréter la notion de « juridictions dans l’exercice de leur fonction juridictionnelle » qui figure à l’article 55, paragraphe 3, du RGPD.
22. Nourrissant des doutes quant au point de savoir si le Raad van State (Conseil d’État) a agi dans le cadre de l’exercice de sa « fonction juridictionnelle », au sens de l’article 55, paragraphe 3, du RGPD, lorsqu’il a communiqué au journaliste J des pièces du dossier de l’affaire opposant le citoyen Z au maire M afin que ce journaliste puisse mieux rendre compte de l’audience dans cette affaire, le rechtbank Midden-Nederland (tribunal des Pays-Bas du Centre) a décidé de surseoir à statuer et de
poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 55, paragraphe 3, du RGPD doit-il être interprété en ce sens que les “opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle” peuvent comprendre l’accès accordé par une instance juridictionnelle à des pièces de dossiers contenant des données personnelles, lorsque cet accès est accordé en mettant des copies de ces pièces à la disposition d’un journaliste, comme dans le cas décrit dans la présente décision de renvoi ?
1a) Pour répondre à cette question, importe-t-il que l’exercice du contrôle de l’autorité de contrôle nationale sur cette forme de traitement de données affecte l’indépendance de jugement du juge dans des affaires concrètes ?
1b) Pour répondre à cette question, importe-t-il que le traitement [des données] ait, selon l’instance juridictionnelle, pour nature et pour finalité d’informer un journaliste afin d’ainsi mettre celui-ci en mesure de mieux rapporter la teneur de l’audience publique dans une procédure judiciaire et de servir l’intérêt à la publicité et à la transparence de la justice ?
1c) Pour la réponse à cette question, est-il pertinent de savoir si le traitement de données repose sur une base légale explicite en droit national ? »
23. Des observations écrites ont été déposées par le citoyen Z, l’autorité de la protection des données, les gouvernements néerlandais, espagnol, polonais et finlandais ainsi que par la Commission européenne. L’autorité de la protection des données, les gouvernements néerlandais et espagnol ainsi que la Commission ont également présenté des observations orales lors de l’audience qui s’est tenue le 14 juillet 2021.
IV. Analyse
24. Les présentes conclusions sont structurées comme suit. Je débuterai par de brèves observations relatives à la recevabilité (A). Puis j’aborderai l’article 55, paragraphe 3, du RGPD et j’examinerai les éléments matériels et institutionnels de cette disposition (B). J’appliquerai ensuite ces considérations à la présente affaire (C). Je conclurai par plusieurs observations sur la question centrale qui se pose et qui, en même temps, ne se pose pas dans la présente affaire : l’application du RGPD aux
juridictions nationales (D).
A. La recevabilité
25. Le citoyen Z soutient que les questions posées revêtent un caractère hypothétique et sont donc irrecevables. Il a demandé une mesure d’application non seulement en raison de la politique d’accès incompatible, selon lui, avec le RGPD, mais également en raison de l’absence de notification en temps utile d’une fuite de données (c’est-à-dire la communication de données à caractère personnel à un journaliste en l’absence de consentement). En outre, la décision de renvoi comporte des erreurs de fait
dans la mesure où la communication des pièces de procédure en cause a été effectuée non par le Raad van State (Conseil d’État), mais par des employés de son service « Communication ». Par conséquent, étant donné que la décision de renvoi n’émanait pas d’une juridiction au sens de l’article 55, paragraphe 3, du RGPD, l’autorité de la protection des données aurait été compétente pour contrôler le traitement auquel ce service a procédé.
26. Je propose à la Cour de rejeter cette argumentation.
27. Les questions relatives à l’interprétation du droit de l’Union qui sont posées par une juridiction nationale bénéficient en règle générale d’une présomption de pertinence ( 8 ). Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature purement
hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées ( 9 ). En conséquence, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer ( 10 ).
28. Cette dernière condition est manifestement remplie dans le cas du litige au principal. La juridiction de renvoi est tenue d’appliquer le RGPD, et notamment l’article 55, paragraphe 3, de celui-ci, pour déterminer dans quelle mesure l’autorité de la protection des données était bien compétente pour contrôler le traitement (éventuel) de données à caractère personnel par le Raad van State (Conseil d’État). Dans la mesure où la juridiction de renvoi a besoin d’être éclairée quant à l’interprétation
de cette disposition, elle est habilitée à saisir la Cour d’une question préjudicielle.
29. De plus, la juridiction de renvoi est seule responsable de la définition du cadre factuel par rapport auquel elle demande des éclaircissements à la Cour ( 11 ). Par conséquent, même si une demande de décision préjudicielle est entachée de certains défauts en ce qui concerne les faits, il n’appartient pas à la Cour de remettre en cause l’exhaustivité de la décision de renvoi, ni de prendre position sur une certaine lecture du droit national ou de la pratique nationale.
30. En tout état de cause, le point de savoir qui a communiqué quoi, et ce sur les instructions de qui, est, en fait, une question de fond qui est susceptible d’être pertinente lorsque le RGPD et les indications fournies par la Cour seront appliqués par la juridiction de renvoi. Cette question ne concerne cependant pas la recevabilité de l’affaire.
31. Par conséquent, la présente affaire est manifestement recevable.
B. L’article 55, paragraphe 3, du RGPD
32. Il est manifeste que le RGPD a vocation à s’appliquer aux juridictions des États membres. En effet, ce règlement couvre toute opération ou tout ensemble d’opérations appliqués à des données à caractère personnel. Il n’y a pas d’exception relative à certaines institutions qui viserait les juridictions ou d’autres organismes spécifiques de l’État ( 12 ). De par son économie, le RGPD ne prend pas en considération le type de l’institution en cause ( 13 ). Toute activité impliquant le traitement de
données à caractère personnel est visée, quelle que soit sa nature. Enfin, le considérant 20 du RGPD confirme cette économie des dispositions en ce qu’il indique expressément que le règlement « s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires ».
33. La question du contrôle du respect des règles prévues par le RGPD est distincte de celle de l’applicabilité matérielle de ces règles, mais néanmoins intimement liée à celle-ci, d’une certaine façon. Certes, le point de savoir « qui doit contrôler » peut être distingué, dans une certaine mesure, du point de savoir « ce qui doit être contrôlé ». Il existe cependant un lien nécessaire. Pour commencer, si certaines règles n’étaient même pas matériellement applicables ou si elles étaient assorties de
larges exceptions, il serait peu utile de débattre de questions de contrôle. En effet, il n’y aurait rien à contrôler.
34. La question de la compétence en matière de contrôle est régie par l’article 55 du RGPD. C’est par cette disposition que s’ouvre la section 2 (« Compétence, missions et pouvoirs ») du chapitre VI (« Autorités de contrôle indépendantes ») de ce règlement. Dans ce contexte, l’article 55 dudit règlement attribue trois types de compétences.
35. En premier lieu, l’article 55, paragraphe 1, du RGPD impose aux États membres de désigner des autorités de contrôle afin de garantir le respect de ce règlement et des obligations des différents acteurs concernés ( 14 ). Chacune des autorités nationales de contrôle dispose des pouvoirs dont elle est investie par ledit règlement sur le territoire de l’État membre dont elle relève.
36. En deuxième lieu, l’article 55, paragraphe 2, du RGPD prévoit la compétence de l’autorité de contrôle de l’État membre concerné pour le traitement effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, sous c) ou e), de ce règlement. Cette disposition prévoit dès lors une exception à l’article 56, paragraphe 1, dudit règlement qui, pour sa part, attribue la compétence à une autorité de contrôle chef de file en cas de traitement
transfrontalier.
37. En troisième lieu, c’est dans ce contexte que l’article 55, paragraphe 3, du RGPD cible un autre type spécifique d’opérations de traitement, à savoir le traitement effectué par les juridictions dans l’exercice de leur fonction juridictionnelle. Pour ces activités, les autorités de contrôle « ordinaires », visées à l’article 55, paragraphe 1, de ce règlement, ne sont pas compétentes. En lieu et place de celles-ci, le considérant 20 dudit règlement explique qu’« il devrait être possible de confier
le contrôle de ces opérations de traitement de données à des organes spécifiques au sein du système judiciaire de l’État membre ».
38. Je tire deux conséquences de l’économie de ces dispositions.
39. Premièrement, les articles 55 et 56 du RGPD traitent principalement de l’attribution des compétences. Dans ce contexte, il pourrait peut-être être soutenu que l’article 55, paragraphe 1, de ce règlement doit être considéré comme une « règle », tandis que toutes les autres dispositions, y compris l’article 55, paragraphe 3, dudit règlement, pourraient être considérées comme des « exceptions ». Toutefois, la Cour a récemment refusé d’adopter cette logique ( 15 ). À juste titre, selon moi : les
articles 55 et 56 du RGPD concernent l’attribution de compétences en fonction d’aspects territoriaux, du type ainsi que des acteurs concernés. Il ne serait certainement pas conforme à l’économie de ces dispositions d’appliquer la logique quelque peu brutale selon laquelle « toutes les exceptions sont d’interprétation stricte » – qui est empruntée au contexte de l’article 2, paragraphe 2, du RGPD – à l’ensemble finement articulé constitué par l’attribution de compétences.
40. Deuxièmement, l’applicabilité de l’article 55, paragraphe 3, du RGPD est soumise à deux conditions. D’une part, il doit y avoir une « opération de traitement » au sens de ce règlement (1). D’autre part, elle doit être effectuée par une juridiction « dans l’exercice de [sa] fonction juridictionnelle » (2). Ce n’est que dans ce cas qu’il est possible de déterminer quelle institution est chargée de contrôler si cette activité respecte le RGPD. C’est sur ces deux conditions que je vais à présent me
pencher.
1. L’élément matériel : y a-t-il « opération de traitement » ?
a) L’état actuel du droit
41. Le champ d’application du RGPD est défini de manière large. Aux termes de son article 2, paragraphe 1, ce règlement s’applique au « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
42. L’article 4, point 2, du RGPD ajoute que le terme « traitement » vise « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » et mentionne, à titre d’exemple, « la communication par transmission, la diffusion ou toute autre forme de mise à disposition ». Cette notion a été interprétée comme visant l’ensemble de la chaîne des transactions portant sur des données à caractère
personnel ( 16 ).
43. L’article 4, point 6, du RGPD définit un « fichier » comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ». Eu égard à ce libellé large, la Cour a jugé qu’aucune condition ne s’appliquait aux modalités ou à la structure d’un « fichier », dès lors que les données à caractère personnel étaient structurées d’une manière permettant de les
retrouver aisément ( 17 ).
44. Tous ces éléments pris ensemble impliquent qu’un traitement de données à caractère personnel au sens du RGPD se produit lorsqu’il existe i) des données à caractère personnel ii) qui sont traitées iii) à l’aide de procédés automatisés ou qui figurent dans un fichier. Dans ce contexte, quelle était alors l’opération de traitement en cause en l’espèce ?
45. Il ressort du dossier que le citoyen Z conteste l’acte consistant à montrer physiquement les trois pièces de procédure au journaliste J afin qu’il puisse mieux rendre compte de l’audience relative à l’affaire opposant le citoyen Z au maire M. De cette manière, des données à caractère personnel contenues dans (au moins une partie de) ces documents ont été divulguées par le Raad van State (Conseil d’État), agissant en qualité de responsable du traitement, sans le consentement de la personne
concernée, ce qui constituait dès lors une opération de traitement (vraisemblablement illicite) au sens de l’article 4, point 2, du RGPD.
46. Il ne semble pas y avoir de désaccord sur le fait que les pièces de procédure en cause contenaient certaines données à caractère personnel, au sens de l’article 4, point 1, du RGPD. De toute évidence, des informations telles que le nom et l’adresse de l’avocat X ainsi que le numéro d’identification national du citoyen Z « se [rapportent] à une personne physique identifiée ou identifiable » ( 18 ).
47. Les parties ne semblent pas non plus contester la présence d’une « opération de traitement », au sens de l’article 4, point 2, du RGPD. C’est, néanmoins, sur ce point qu’un doute pourrait apparaître. Quelle était exactement l’opération de traitement spécifique ( 19 ) qui a entraîné l’application du RGPD ?
48. La réponse la plus évidente à cet égard est qu’il s’agit de la « communication par transmission » ( 20 ) à un tiers, par des employés du Raad van State (Conseil d’État), des documents en cause. La jurisprudence conforte cette thèse, étant donné que la Cour a estimé que la communication ( 21 ) ou la divulgation généralisée ( 22 ) de données à caractère personnel constituaient un « traitement » au sens de l’article 4, point 2, du RGPD.
49. Toutefois, en vertu de l’article 2, paragraphe 1, du RGPD, cette activité doit, au moins partiellement, avoir impliqué l’utilisation de procédés automatisés. Le dossier est muet sur la question de savoir si de tels procédés automatisés ont été utilisés dans le cadre de cette activité. Certes, dans la société d’aujourd’hui, il y aura, à un moment donné, au moins une certaine utilisation de procédés automatisés. En outre, compte tenu de ce qu’il convient de prendre en considération l’ensemble de
la chaîne des opérations de traitement ( 23 ), dès lors qu’une personne a, à un moment quelconque précédant la communication des pièces de procédure en cause, numérisé, copié, imprimé, envoyé par courrier électronique ou extrait, d’une autre manière, ces documents d’une base de données, ce traitement a eu lieu au moins en partie à l’aide de procédés automatisés, au sens de l’article 2, paragraphe 1, du RGPD.
50. À titre subsidiaire, et en tout état de cause, les données à caractère personnel ont apparemment été extraites du dossier de l’affaire lui-même aux fins de leur communication au journaliste J. Cela implique, logiquement, que le Raad van State (Conseil d’État) aura créé un tel dossier au moyen d’informations d’identification (numéro de l’affaire, date du litige ou noms des parties impliquées). Un tel dossier (« case file ») constitue, par définition pourrait-on dire, un « fichier » (« filing
system »), au sens de l’article 4, point 6, du RGPD, dès lors qu’il établit un ensemble structuré de données (à caractère personnel) accessibles selon des critères déterminés ( 24 ).
51. Par conséquent, même en laissant de côté la partie « à l’aide de procédés automatisés » de la définition figurant à l’article 2, paragraphe 1, du RGPD, il est néanmoins assez clair que trois documents extraits du dossier d’une affaire pendante devant une juridiction nationale et copiés ensuite figurent dans un fichier, à savoir le dossier de l’affaire lui-même.
52. Enfin, aucune des exceptions prévues à l’article 2, paragraphe 2, du RGPD, qui doit faire l’objet d’une interprétation stricte ( 25 ), n’est applicable en l’espèce. Il ne saurait être affirmé que la communication des documents en cause « ne relève pas du champ d’application du droit de l’Union », à tout le moins dans le sens où cette expression a été interprétée par la Cour dans ce contexte spécifique. En effet, il pourrait être considéré que la communication de pièces de procédure dans le cadre
de procédures devant des juridictions nationales ne relève pas du champ d’application du droit de l’Union, en tout cas pas au sens usuel où elle serait réglementée par un acte quelconque du droit de l’Union. Toutefois, dans l’arrêt récent de la Cour dans l’affaire Latvijas Republikas Saeima (Points de pénalité), l’exception figurant à l’article 2, paragraphe 2, sous a), du RGPD a été interprétée en ce sens qu’elle était uniquement applicable aux fonctions essentielles de l’État dans les divers
États membres, dans la mesure où ces fonctions pouvaient être rangées dans la même catégorie que la sécurité nationale ( 26 ). De fait, s’il a été estimé que la garantie de la sécurité routière ne satisfaisait pas aux conditions du considérant 16 du RGPD ( 27 ), il est peu probable que la transparence de la justice y satisfasse.
53. Qui plus est, rien n’indique que la communication opérée en l’espèce était liée à une enquête en matière d’infractions pénales ou à l’exécution de sanctions pénales (même si, pour quelque raison que ce soit, une telle communication aurait été nécessaire dans ce cas) ( 28 ). Par conséquent, l’applicabilité de l’article 2, paragraphe 2, sous d), du RGPD est également exclue.
54. En conclusion, en vertu du libellé large et de l’interprétation de l’article 2, paragraphe 1, et de l’article 4, points 2 et 6, du RGPD, ainsi que de la portée extrêmement restreinte des exceptions prévues à l’article 2, paragraphe 2, de ce règlement, il apparaît que la communication des pièces de procédure en l’espèce relève du champ d’application matériel dudit règlement, en tant qu’opération impliquant soit le traitement de données à caractère personnel, automatisé en tout ou en partie, soit
le traitement de telles données figurant dans un fichier.
b) L’état actuel du droit est-il correct ?
55. Fournir à un journaliste trois pièces de procédure afin qu’il puisse mieux comprendre la procédure orale dont il doit rendre compte est un traitement de données à caractère personnel au sens du RGPD. Cette conclusion constitue autant une réponse que l’énoncé d’un problème. Les êtres humains sont des créatures sociales. La plupart de nos interactions impliquent la communication d’un type d’informations ou d’un autre, le plus souvent à d’autres êtres humains. Tous les échanges, ou presque, de
telles informations doivent-ils être soumis à ce règlement ?
56. Si je vais au pub un soir et si je fais part à quatre de mes amis autour d’une table dans un lieu public [si bien qu’il est peu probable qu’il s’agisse d’une activité strictement personnelle ou domestique relevant de l’exception prévue à l’article 2, paragraphe 2, sous c), du RGPD ( 29 )] d’une remarque peu flatteuse concernant mon voisin, qui contient ses données à caractère personnel et que je viens de recevoir par courriel (donc à l’aide de procédés automatisés et/ou figurant dans mon
fichier), est-ce que je deviens le responsable du traitement de ces données et toutes les obligations (plutôt lourdes) de ce règlement me sont-elles alors subitement applicables ? Dès lors que mon voisin n’a jamais donné son consentement à ce traitement (communication par transmission) et qu’il est peu probable que le commérage figure un jour au nombre des motifs légitimes énumérés à l’article 6 dudit règlement ( 30 ), je vais nécessairement violer plusieurs dispositions du même règlement par
cette divulgation, y compris la plupart des droits de la personne concernée figurant au chapitre III du RGPD.
57. Lors de l’audience, la Commission, confrontée à de telles questions effectivement bizarres de l’avocat général, a insisté sur l’existence de limites au champ d’application du RGPD. Toutefois, elle n’a pas été en mesure d’expliquer où se situent exactement ces limites. En fait, elle a admis que même un « traitement » incident de données à caractère personnel semblait entraîner l’application de ce règlement, et donc des droits et des obligations qui en découlent ( 31 ).
58. C’est précisément la question que la présente affaire, une fois encore, soulève : ne devrait-il pas y avoir des limites matérielles au champ d’application du RGPD ? Toute forme d’interaction humaine dans le cadre de laquelle des informations relatives à d’autres êtres humains sont divulguées, quelle que soit la manière dont elles sont divulguées, est-elle censée être soumise aux règles plutôt contraignantes de ce règlement?
59. En cette nouvelle ère, caractérisée par une tendance continue à une automatisation accrue, il semble que presque tout aspect de toute activité puisse, tôt ou tard, être connecté à un appareil qui, de plus en plus, dispose de capacités propres de traitement de données. La plupart du temps, l’utilisation de telles données sera accessoire ou de minimis, de sorte que, dans de nombreux cas, aucune activité de traitement « réelle » n’aura lieu. Toutefois, il semble néanmoins que ni la nature de
l’opération (simple transmission par opposition à un travail effectif sur et avec les données), ni la méthode de la communication potentielle (par écrit, manuellement ou électroniquement, par opposition à oralement), pas plus que la quantité des données à caractère personnel (absence de règle de minimis, absence de différence tenant à la divulgation de données individualisées relatives à une personne spécifique par opposition au travail avec ou sur des ensembles de données), ne soient
pertinentes pour l’applicabilité du RGPD.
60. Je ne suis certes pas le premier à être perplexe face à l’étendue de ce qui constitue apparemment une « opération de traitement » aux fins du RGPD ou, auparavant, de la directive 95/46/CE ( 32 ). Dans ses conclusions dans l’affaire Commission/Bavarian Lager, l’avocate générale Sharpston a tenté de laisser entendre qu’il conviendrait d’introduire un seuil minimal, sous une forme ou une autre, à titre d’élément déclencheur de la présence d’une opération de traitement ( 33 ).
61. Une approche plus prudente en ce qui concerne les notions de « données à caractère personnel » et de « traitement » avait également été suggérée, antérieurement, par le groupe de travail « article 29 » sur la protection des données ( 34 ). Il a relevé que « le simple fait qu’une situation donnée soit reconnue comme impliquant “le traitement de données à caractère personnel” au sens de la définition ne préjuge pas, à lui seul, de l’application des règles de la directive [95/46] dans cette
situation précise, notamment en vertu de son article 3 » ( 35 ). Il a également souligné que « [l]e champ d’application des règles de protection des données ne doit pas être trop étendu ». Il a même prévu, en faisant preuve d’une sagesse certaine, qu’« une application mécanique de chacune des dispositions de la directive » pourrait s’avérer « extrêmement fastidieuse » ou même conduire « à des situations absurdes » ( 36 ).
62. Il faudrait peut-être alors exiger, au minimum, un changement, une modification, une manipulation ou tout autre traitement au sens d’une « valeur ajoutée » ou d’une « utilisation raisonnable » des données à caractère personnel en cause. Une solution différente, ou liée à la première, serait d’attacher une plus grande importance à la notion de procédés automatisés, ce qui exclurait toute autre forme de simple divulgation par des procédés non automatisés, que ce soit oralement ou par la simple
consultation d’un document écrit. L’ajout d’un tel critère préliminaire, ou de tout autre critère analogue, pourrait ainsi contribuer à recentrer les règles en matière de protection des données sur les activités qu’elles avaient initialement vocation à régir ( 37 ), en laissant de côté les utilisations accidentelles, incidentes ou minimes de données à caractère personnel auxquelles les droits et obligations du RGPD s’appliqueraient sinon dans toute leur rigueur.
63. Quoi qu’il en soit, je ne perds pas de vue que la Cour, en formation de grande chambre, a déjà rejeté, il n’y a pas si longtemps, l’adoption d’un tel critère dans l’arrêt Commission/Bavarian Lager ( 38 ). Dans le même ordre d’idées, la Cour a poursuivi dans une voie plutôt expansionniste pour ce qui est de l’interprétation du champ d’application de la directive 95/46 et, depuis, de celui du RGPD ( 39 ).
64. Pour cette raison, force est donc de conclure que, dans la présente affaire également, un traitement de données à caractère personnel au sens de l’article 2, paragraphe 1, du RGPD, et donc aussi au sens de l’article 55, paragraphe 3, de ce règlement, a eu lieu.
65. Toutefois, j’ai le sentiment que la Cour ou, d’ailleurs, le législateur de l’Union sera obligé de réexaminer le champ d’application du RGPD un jour. L’approche actuelle transforme progressivement ce règlement en un des cadres législatifs les plus méconnus, de facto, en droit de l’Union. Cet état de fait n’est pas nécessairement intentionnel. C’est plutôt le corollaire naturel du champ d’application excessif du RGPD qui aboutit, à son tour, à ce qu’un certain nombre de personnes soient tout
simplement dans l’ignorance totale du fait que leurs activités sont également soumises à ce règlement. S’il est certes possible qu’une telle protection des données à caractère personnel puisse toujours « servir l’humanité » ( 40 ), je suis convaincu que, en fait, la méconnaissance due au caractère déraisonnable ne sert pas ni même ne contribue à l’autorité ou à la légitimité d’une quelconque loi, y compris le RGPD.
2. L’élément institutionnel : est-on en présence de « juridictions dans l’exercice de leur fonction juridictionnelle » ?
66. Après avoir admis qu’il y a « opération de traitement » au sens de l’article 55, paragraphe 3, du RGPD, il faut explorer le second élément, d’ordre plutôt institutionnel, figurant dans cette disposition. Comment la notion de « juridictions dans l’exercice de leur fonction juridictionnelle » doit-elle être interprétée ?
67. Cette disposition vise à établir une distinction entre les activités qui devraient être considérées comme ayant été exercées dans le cadre d’une « fonction juridictionnelle » et les activités qui ne relèvent pas de cette catégorie, telles que, vraisemblablement, des tâches administratives. Une distinction similaire existe dans divers autres contextes législatifs et, notamment, en ce qui concerne l’accès aux documents et le principe de la transparence qui est énoncé à l’article 15, paragraphe 3,
quatrième alinéa, TFUE ( 41 ). Toutefois, à y regarder de plus près, l’article 55, paragraphe 3, du RGPD semble être une disposition tout à fait spécifique.
68. La Commission fait valoir que la notion d’« exercice de leur fonction juridictionnelle » devrait suivre une approche purement fonctionnelle et être interprétée de manière restrictive. Elle soutient qu’il convient d’accorder une attention particulière au considérant 20 du RGPD et à l’objectif de la préservation de l’indépendance du pouvoir judiciaire. Dans cette optique, seules les activités qui présentent ou pourraient avoir un lien direct avec les « décisions » prises par le juge devraient être
incluses dans la notion de « fonction juridictionnelle », de sorte que seules ces activités échapperaient à la compétence des autorités de contrôle compétentes.
69. Toutes les autres parties à la présente procédure défendent la position opposée. En substance, elles affirment que l’emploi de l’expression « y compris », au considérant 20 du RGPD, indique que le législateur de l’Union n’a pas souhaité attacher une lecture restrictive à la notion de « fonction juridictionnelle » et que l’objectif de la préservation de l’indépendance du pouvoir judiciaire doit être interprété de manière extensive.
70. Je souscris largement à cette dernière position.
71. L’article 55, paragraphe 3, du RGPD définit la compétence de contrôle de l’autorité de contrôle compétente. Il ne prévoit pas, ainsi que la Commission l’a relevé à juste titre lors de l’audience, une exception à l’obligation globale de contrôle. En effet, dès lors qu’une opération de traitement relève du champ d’application matériel de ce règlement, elle est également soumise à l’obligation d’être contrôlée par une autorité indépendante en vertu de l’article 8, paragraphe 3, de la charte des
droits fondamentaux de l’Union européenne (ci-après la « Charte ») et, plus généralement, de l’article 16, paragraphe 2, TFUE. Ce contrôle est effectué par un organisme autre que l’autorité de contrôle désignée en vertu de l’article 51, paragraphe 1, dudit règlement.
72. Pour que la compétence de contrôle soit attribuée à un organisme autre que l’autorité générale de contrôle visée à l’article 55, paragraphe 1, du RGPD, l’article 55, paragraphe 3, de ce règlement exige, outre la présence d’une opération de traitement, premièrement, l’intervention d’un type d’institution (« les juridictions ») et, deuxièmement, une activité spécifique de ces juridictions (« dans l’exercice de leur fonction juridictionnelle »). Cela implique que le critère doit tenir compte de ces
deux caractéristiques.
73. En ce qui concerne la première caractéristique, il est manifeste que, en dehors du domaine nécessairement autonome de l’article 267 TFUE, la notion de « juridiction » implique un organe qui fait partie de la structure juridictionnelle des États membres et qui est reconnu comme tel ( 42 ). Ainsi que je l’ai indiqué précédemment, et comme l’a relevé le gouvernement néerlandais lors de l’audience, pour ces types d’entités, la nature « juridictionnelle » de leur activité est la règle, tandis que
l’exercice de toute activité « administrative » doit être considéré comme l’exception, étant donné que ces activités sont accessoires ou intermédiaires par rapport à leur activité principale, qui est juridictionnelle ( 43 ). En d’autres termes, si l’organe concerné est appelé « juridiction » dans le système juridictionnel des États membres, il sera présumé, par défaut, qu’il agit dans l’exercice d’une « fonction juridictionnelle », sauf preuve du contraire dans un cas particulier ( 44 ).
74. En ce qui concerne la seconde caractéristique, le correctif fonctionnel appliqué ensuite à cette détermination institutionnelle implique l’appréciation du type ou de la nature de l’activité considérée ( 45 ). L’autorité de la protection des données ainsi que les gouvernements néerlandais et espagnol invoquent à juste titre le considérant 20 du RGPD lorsqu’ils soulignent que, dans le cas spécifique de l’article 55, paragraphe 3, de ce règlement, ce correctif doit faire l’objet d’une
interprétation large.
75. À titre liminaire, je tiens néanmoins à insister sur le fait que la définition figurant à l’article 55, paragraphe 3, du RGPD contient à juste titre deux éléments : l’élément institutionnel et le correctif (ou ajustement) fonctionnel. Cela est dû au fait qu’elle vise logiquement à couvrir certaines fonctions (juridictionnelles) au sein de certaines institutions (juridictions). Cette définition n’est pas et ne saurait être purement fonctionnelle. Si elle l’était et si « dans l’exercice de leur
fonction juridictionnelle » devait l’emporter sur la notion de « juridictions », les autres organismes et autorités des États membres qui exercent, dans certains cas, une fonction juridictionnelle pourraient prétendre être considérés comme des organismes échappant au contrôle des autorités de contrôle visées à l’article 55, paragraphe 1, de ce règlement. Toutefois, le paragraphe 3 de cet article est limité aux juridictions agissant dans l’exercice de leur fonction juridictionnelle. Il ne
s’applique pas aux organismes agissant dans l’exercice de leur fonction juridictionnelle.
76. Pourquoi, ensuite, la notion d’« exercice de leur fonction juridictionnelle » devrait-elle être interprétée de manière large, de sorte qu’elle inclurait vraisemblablement plus qu’elle n’exclurait les cas limites ?
77. Premièrement, contrairement à la Commission, je ne souscris pas à l’idée selon laquelle le rapport entre le paragraphe 1 et le paragraphe 3 de l’article 55 du RGPD devrait être réduit à la logique simpliste d’un rapport « règle/exception ». Ainsi qu’il a déjà été exposé ci-dessus ( 46 ), les articles 55 et 56 de ce règlement instaurent un système nuancé d’attribution des pouvoirs de contrôle à l’égard de certains territoires, de certains types de traitements et de certains acteurs.
78. Deuxièmement, il convient de rappeler que la deuxième phrase du considérant 20 du RGPD énonce que « [l]a compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions » ( 47 ).
79. Dans ce contexte, les mentions « afin de » et « y compris » indiquent qu’il convient de faire une interprétation large de la notion d’« exercice de leur fonction juridictionnelle ».
80. D’une part, l’expression « afin de » dans cette phrase explique l’objet et non une limite. Elle énonce, par une affirmation abstraite, que l’objectif de la répartition des compétences qui figure à l’article 55, paragraphe 3, du RGPD est la protection de l’indépendance du pouvoir judiciaire. En effet, et contrairement à ce que la Commission a laissé entendre lors de l’audience, la mention « afin de » n’implique pas que chaque opération de traitement doive contribuer à la préservation de
l’indépendance des juges. En d’autres termes, le considérant 20 de ce règlement ne précise pas que, afin d’être exclu du contrôle par l’autorité de contrôle visée audit article 55, paragraphe 1, chaque traitement effectué par la juridiction doit préserver, de manière particulière et concrète, l’indépendance du pouvoir judiciaire. Il se borne à indiquer que, au niveau systémique, le système de contrôle spécifique a été mis en place afin de préserver l’indépendance du pouvoir judiciaire. À mon
sens, il s’agit là de deux types très différents de la locution « afin de ».
81. D’autre part, la nécessité d’une interprétation large des termes « fonction juridictionnelle » est également confirmée par l’ajout de l’expression « y compris » avant « lorsqu’il prend des décisions » au considérant 20, deuxième phrase, du RGPD. En effet, le lien ainsi créé indique également que la notion de « fonction juridictionnelle » doit être interprétée de manière plus large que de simples décisions particulières relatives à une affaire concrète. Dès lors, il n’y a pas non plus lieu de
veiller à ce que chaque activité particulière de traitement remplisse de manière visible et claire la mission de la préservation de l’indépendance du pouvoir judiciaire. Au contraire, il peut en fait être considéré qu’une juridiction agit dans l’exercice de sa « fonction juridictionnelle » même lorsqu’elle exerce des activités qui se rattachent au fonctionnement général du pouvoir judiciaire ou à la mise en œuvre et à la gestion globales de la procédure judiciaire, qu’il s’agisse, à titre
d’illustration, de la constitution et du stockage de dossiers ; de l’attribution des affaires aux juges ; de la jonction des affaires ; de la prorogation des délais ; du déroulement et de l’organisation des audiences ; de la publication et de la diffusion de ses décisions au profit du grand public (il en est assurément ainsi dans le cas des juridictions supérieures) ; ou même de la formation de nouveaux juges.
82. Troisièmement, la même conclusion peut également être tirée de l’objectif déclaré consistant à préserver l’« indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires ». Au fil de sa jurisprudence et, en particulier, dans ses arrêts plus récents, la Cour a fait une interprétation large de la notion d’« indépendance des juges », de manière à couvrir la possibilité pour les juges d’exercer leur fonction en étant exempts de toute forme (directe ou indirecte, concrète
ou potentielle) de pression ( 48 ).
83. Je ne vois pas pourquoi la même interprétation ne devrait pas être retenue à titre d’élément de référence pour comprendre la notion d’« indépendance du pouvoir judiciaire » également aux fins du RGPD. À cet égard, toutefois, sauf à vouloir charger l’autorité de contrôle compétente d’apprécier, au cas par cas, si sa surveillance dans une affaire donnée pourrait porter atteinte à cette indépendance, une lecture restrictive du considérant 20 et de l’article 55, paragraphe 3, de ce règlement n’est
certainement pas justifiée.
84. C’est dans ce contexte qu’il me semble difficile de souscrire aux arguments de la Commission et à son interprétation de la notion d’indépendance des juges. Lors de l’audience, la Commission n’a cessé d’insister sur le fait que, pour que l’article 55, paragraphe 3, du RGPD soit déclenché, il faut qu’il y ait un lien direct entre le traitement des données à caractère personnel en cause et une procédure judiciaire, proprement dite, en cours. Si tel était le cas, je serais perplexe quant à ce que la
notion d’indépendance des juges, clairement invoquée par le législateur de l’Union, pourrait précisément apporter aux fins de la définition du champ d’application de l’activité juridictionnelle.
85. Si la notion d’indépendance des juges a un sens dans ce contexte, c’est avant tout pour préserver la fonction juridictionnelle des allusions, pressions ou influences indirectes. Ce que la jurisprudence plus récente de la Cour démontre, c’est bien que les menaces indirectes pesant sur l’indépendance des juges se produisent en pratique plus fréquemment que les menaces directes. Un exemple notable récent de cette catégorie pourrait inclure le système des procédures disciplinaires à l’encontre des
juges ( 49 ). À proprement parler, de telles procédures (ou le recours éventuel à celles-ci) ne sont pas directement liées à une décision individuelle rendue par les juridictions. Toutefois, il est difficile de contester leur pertinence en ce qui concerne l’environnement dans lequel de telles décisions sont rendues et elles relèvent clairement de la notion d’indépendance des juges.
86. Pour l’ensemble de ces raisons, je ne saurais adopter l’approche de la Commission quant à l’interprétation de l’exercice d’une fonction juridictionnelle au sens de l’article 55, paragraphe 3, du RGPD. Elle reviendrait, en substance, à autoriser le contrôle administratif au titre de l’article 55, paragraphe 1, de ce règlement dans tous les cas, à moins qu’il n’existe un lien direct avec le processus décisionnel judiciaire, ou peut-être même une incidence discernable sur celui-ci. À mon avis,
cette approche ne tient pas compte de ce en quoi l’objectif de la préservation de l’indépendance des juges devrait en réalité consister. Pour assurer l’indépendance des juges, il ne faut pas (seulement) constater ex post que quelque chose s’est déjà produit. Il faut surtout mettre en place ex ante des garanties suffisantes, pour que certaines choses ne puissent pas se produire.
87. Il en va de même de l’argument selon lequel, naturellement, on ne saurait présumer que, même si elles étaient autorisées à contrôler toutes les activités juridictionnelles, les autorités de contrôle visées à l’article 55, paragraphe 1, du RGPD auraient vraisemblablement ex ante le désir d’influencer la procédure judiciaire. Je souhaiterais partager ce point de vue. Toutefois, cela est à nouveau dénué de pertinence si le but à atteindre est celui de préserver l’indépendance des juges.
L’interprétation et le renforcement des institutions dans de tels cas ne peuvent pas procéder d’une logique factuelle (cela a-t-il déjà eu lieu ?), mais doivent suivre une logique préventive (garantir que de telles choses ne puissent pas se produire, indépendamment du comportement concret des acteurs concernés) ( 50 ).
88. Quatrièmement et finalement, cet objectif, affiché par la législation, de l’article 55, paragraphe 3, du RGPD apporte également, à mon sens, une réponse quant à l’approche à appliquer aux scénarios limites, à savoir la zone grise entre ce qui est manifestement juridictionnel et ce qui est manifestement autre chose, probablement administratif.
89. En pratique, il existe naturellement un certain nombre d’activités limites exercées par les juridictions qui peuvent ne pas concerner directement une décision judiciaire dans une affaire donnée, mais qui peuvent avoir une influence directe ou indirecte sur la procédure judiciaire. Il est possible de citer, à titre d’exemple, l’attribution des affaires par un président d’une juridiction, à condition naturellement qu’un ordre juridique laisse à un président une marge d’appréciation à cet égard. Si
l’on adoptait une lecture restrictive de ce qui est considéré comme relevant d’une « fonction juridictionnelle », il serait peu probable que cette activité soit couverte par l’article 55, paragraphe 3, du RGPD. Une autorité de contrôle serait ainsi compétente pour contrôler les traitements de données à caractère personnel effectués dans le cadre de ladite activité. Or, une telle décision ne revêt pas non plus un caractère administratif. En fait, il est difficile de ne pas admettre que
l’attribution d’une affaire à un juge rapporteur est une tâche intrinsèquement juridictionnelle et qu’une ingérence dans l’accomplissement de celle-ci est susceptible d’avoir une incidence considérable sur l’indépendance des juges.
90. D’autres activités relevant de la même catégorie sont, par exemple, l’aménagement, la disposition des places ou la gestion des salles d’audience lorsque la juridiction siège ; le recours à des mesures de sécurité pour les visiteurs, les parties et leurs mandataires ; les enregistrements vidéo, voire potentiellement, la retransmission des audiences ; l’accès aux audiences réservé à la presse ; ou même les informations disponibles sur le site Internet d’une juridiction au sujet des audiences et
des jugements. Aucune de ces activités (purement illustratives) n’est ni uniquement juridictionnelle en ce sens qu’elle est directement liée à la solution d’un litige déterminé, ni seulement administrative. Dans nombre de tels cas, elles peuvent, dans certaines circonstances, avoir une incidence sur l’indépendance des juges d’une juridiction. Serait-il opportun, dès lors, qu’elles soient contrôlées, du point de vue du respect éventuel des obligations du RGPD, par une autorité qui peut également
comparaître en qualité de défendeur devant ces juridictions dans les affaires introduites contre des décisions prises par cette autorité ?
91. À l’autre extrémité du spectre, il y a des missions a priori purement administratives, telles que l’entretien des bâtiments de la juridiction, la sous-traitance de services de restauration ou la gestion normale des fournitures et l’entretien d’une institution et d’un lieu de travail. Il est vrai que, à l’intérieur de cette catégorie aussi, des cas limites pourraient apparaître. Le paiement des rémunérations des juges peut en être un bon exemple ( 51 ). Si ces missions se limitent au traitement
mécanique de fiches de paie fixes, elles sont par essence de nature administrative. Le contrôle de ces activités pourrait ainsi relever de la compétence de l’autorité de contrôle désignée en vertu de l’article 51, paragraphe 1, du RGPD. Toutefois, dès qu’un élément discrétionnaire est ajouté à cette mission, comme la détermination du type de pécule de vacances, de la prime de Noël ou de l’indemnité d’installation qu’un certain juge peut recevoir, une telle activité pourrait rapidement perdre son
statut innocent de mission purement administrative ( 52 ).
92. En effet, il serait incompatible avec la logique du considérant 20 du RGPD que ces activités soient, du seul fait de leur qualification générale, examinées par l’autorité de contrôle visée à l’article 51, paragraphe 1, de ce règlement et non par l’autorité « interne » désignée spécifiquement pour les activités ayant une incidence potentielle sur l’indépendance des juges. C’est là une question de cohérence : la décision politique particulière prise dans l’exercice d’une fonction juridictionnelle
ne saurait être dissociée de sa mise en œuvre, si un contrôle de la décision d’exécution qui en résulte, par le personnel administratif général, aboutissait au même problème, à savoir une atteinte portée à l’indépendance du pouvoir judiciaire. Dès lors, la mise en œuvre d’une décision politique prise dans l’exercice d’une fonction juridictionnelle doit, elle aussi, échapper au contrôle de l’autorité de contrôle (administrative) compétente.
93. En conclusion, et eu égard à l’intention du législateur exprimée au considérant 20 du RGPD, l’approche en matière de qualification des activités exercées dans le cadre d’une « fonction juridictionnelle » ne saurait, par conséquent, être une approche au cas par cas, se focalisant sur l’empiètement potentiel sur ce qui est « juridictionnel » dans les circonstances propres à chaque cas. Une telle approche serait, par définition, factuelle et circonstancielle, parfois plus large et parfois plus
stricte. L’approche retenue pour l’interprétation de cette notion doit donc être structurelle (c’est-à-dire tenir compte du type d’activité) et, de par sa nature même, préventive. C’est pourquoi, pour ce qui est des cas limites relevant des activités exercées par les juridictions, s’il existe des doutes quant à la nature d’un type d’activité, ou s’il existe une simple éventualité que le contrôle d’une telle activité puisse avoir une incidence sur l’indépendance des juges, cette activité devrait,
compte tenu du principe de l’indépendance des juges, échapper (structurellement) à la compétence de l’autorité de contrôle visée à l’article 55, paragraphe 1, de ce règlement.
94. Ayant fourni cette réponse à la question de la définition des juridictions dans l’exercice de leur fonction juridictionnelle, je terminerai en réagissant, par souci d’exhaustivité, à trois autres arguments soulevés par les différentes parties intéressées dans le cadre de la présente procédure.
95. En premier lieu, j’estime qu’il est peu utile, en pratique, de mettre l’accent sur la genèse du considérant 20 du RGPD. La juridiction de renvoi explique qu’il ressort des travaux préparatoires du RGPD que la version initiale du considérant 20 de ce règlement était similaire à la rédaction du considérant 80 de la directive (UE) 2016/680 ( 53 ). Ce dernier limite la notion d’« exercice de leur fonction juridictionnelle » aux « activités judiciaires dans le cadre d’affaires portées devant les
juridictions », en précisant « qu’elle ne s’applique pas aux autres activités auxquelles les juges pourraient être associés conformément au droit d’un État membre ». Toutefois, une telle limitation de compétence n’a finalement pas été retenue dans la version finale du considérant 20 du RGPD. Si un enseignement peut être tiré de ce fait, ce serait qu’il y a opposition et non analogie. Après tout, le législateur de l’Union s’est clairement écarté du libellé précédent, en rejetant vraisemblablement
une lecture restrictive qui établit une distinction entre différents types d’« activités judiciaires ».
96. En deuxième lieu, on ne saurait, aux fins de la présente affaire, se contenter de reproduire la logique qui sous-tend les distinctions opérées dans le cadre de la législation et de la jurisprudence en matière d’accès aux documents. La finalité qui sous-tend la démarcation figurant à l’article 15, paragraphe 3, quatrième alinéa, TFUE (protection de l’intégrité de la procédure judiciaire et des procédures judiciaires en cours) est différente de celle de la démarcation, supposée identique, qui est
prévue à l’article 55, paragraphe 3, du RGPD (protéger l’indépendance des juges).
97. S’agissant, plus particulièrement, des arrêts Suède e.a./API et Commission ( 54 ) et Commission/Breyer ( 55 ), sur lesquels la Commission entend se fonder aux fins de la présente affaire, ces arrêts portent sur la protection des « procédures juridictionnelles », qui est l’une des exceptions relevant de l’article 4 du règlement (CE) no 1049/2001 ( 56 ). Comme je l’ai expliqué dans mes conclusions dans l’affaire Friends of the Irish Environment, cette exception met l’accent sur la durée finie d’un
litige déterminé et non sur les activités permanentes du pouvoir judiciaire ( 57 ). Elle considère donc principalement les activités relevant de l’article 4, paragraphe 2, du règlement no 1049/2001 à travers le prisme de la temporalité. Toutefois, cette exception temporelle à la logique de la divulgation est tout à fait étrangère à l’article 55, paragraphe 3, du RGPD, qui concerne l’attribution permanente de compétences en matière de contrôle. Par conséquent, ainsi que l’a relevé avec justesse
l’avocate générale Sharpston, dans l’affaire Flachglas Torgau, dans le même contexte, une telle véritable activité juridictionnelle « n’a ni début ni fin » ( 58 ).
98. Troisièmement et finalement, je souhaite indiquer pourquoi la mise en balance, proposée par le gouvernement espagnol, entre le droit à la protection des données et certains autres droits fondamentaux (qui est nécessaire en vertu de l’article 85 du RGPD) ne relève pas de l’appréciation au titre de l’article 55, paragraphe 3, de ce règlement. Il en est ainsi parce que l’appréciation objective, aux fins de l’attribution de la compétence de contrôle, du point de savoir si une activité est exercée
dans le cadre d’une « fonction juridictionnelle » n’implique pas la mise en balance avec des droits fondamentaux. En revanche, en vertu de l’article 55, paragraphe 3, dudit règlement, il faut procéder à une « évaluation du type » qui est liée, comme je l’ai expliqué dans les passages qui précèdent, au fonctionnement général du pouvoir judiciaire et aux décisions politiques s’y rapportant.
99. Cela ne signifie absolument pas, selon moi, qu’une mise en balance n’est pas nécessaire pour apprécier si une communication de documents respecte le droit à la protection des données à caractère personnel. Elle l’est assurément, mais seulement plus tard, lorsqu’il s’agit d’apprécier si la communication en cause (effectuée dans l’exercice d’une « fonction juridictionnelle ») était proportionnée à l’objectif qu’elle poursuivait et, partant, conforme aux dispositions matérielles du RGPD ( 59 ).
100. En résumé, je propose d’aborder la notion d’« exercice de leur fonction juridictionnelle », au sens de l’article 55, paragraphe 3, du RGPD, d’un point de vue institutionnel (« s’agit-il d’une juridiction ? »), qui peut ensuite être corrigé par une appréciation fonctionnelle du type d’activité en cause (« quel type spécifique d’activité la juridiction exerce-t-elle ? »). Eu égard à l’objectif fixé au considérant 20 de ce règlement, cette dernière appréciation, relative à l’activité, devrait
reposer sur une interprétation large de la notion de « fonction juridictionnelle » qui va au-delà du simple processus décisionnel judiciaire dans une affaire déterminée. Elle doit également couvrir toutes les activités qui sont susceptibles d’avoir une incidence indirecte sur l’indépendance des juges. Dès lors, les juridictions devraient, par défaut, être considérées comme agissant dans l’exercice de leur « fonction juridictionnelle », à moins qu’il ne soit établi, s’agissant d’un type
spécifique d’activité, que celle-ci est uniquement de nature administrative.
C. La présente affaire
101. Après avoir proposé un critère général qui découle, à mon sens, de l’article 55, paragraphe 3, du RGPD, je me penche maintenant sur les questions posées par la juridiction de renvoi.
102. Pour rappel, la question 1 vise, en substance, à savoir si les juridictions nationales agissent « dans l’exercice de leur fonction juridictionnelle », au sens de l’article 55, paragraphe 3, du RGPD, lorsqu’elles communiquent certaines pièces de procédure à un journaliste afin que cette personne soit en mesure de mieux rendre compte d’une affaire donnée. Les autres questions, qui s’appuient sur la réponse que la Cour donnera à cette première question, reviennent à demander si l’appréciation
visée à la question 1 est influencée par, premièrement, l’ingérence éventuelle de l’autorité de contrôle nationale dans l’indépendance des juges dans une affaire déterminée [question 1, sous a)] ; deuxièmement, la nature et la finalité du traitement des données, à savoir informer un journaliste afin de mettre celui-ci en mesure de mieux rapporter la teneur de l’audience publique dans une procédure judiciaire [question 1, sous b)] ; ou, troisièmement, le point de savoir si cette communication de
documents repose ou non sur une base légale [question 1, sous c)].
103. S’agissant, tout d’abord, de la question 1, il convient, ainsi que je l’ai expliqué dans la section précédente des présentes conclusions, de faire de la notion de « juridictions dans l’exercice de leur fonction juridictionnelle », au sens de l’article 55, paragraphe 3, du RGPD, une lecture institutionnelle qui est ensuite réajustée, le cas échéant, par un large « correctif lié au type de l’activité ».
104. En l’espèce, la désignation institutionnelle est claire. En effet, le Raad van State (Conseil d’État) est une juridiction supérieure en matière administrative aux Pays-Bas. De même, en ce qui concerne la question de savoir si l’activité en cause relève de la catégorie des traitements effectués dans l’exercice d’une « fonction juridictionnelle », toutes les parties intéressées s’accordent à considérer que la communication de pièces de procédure à un journaliste afin que celui-ci puisse mieux
rendre compte d’une audience relève bien du type d’activité juridictionnelle qui est visé à l’article 55, paragraphe 3, du RGPD.
105. Je partage cet avis. Une politique, telle que celle suivie en l’espèce, consistant à communiquer à la presse des pièces de procédure sélectionnées afin que l’activité des tribunaux soit plus transparente et plus compréhensible touche au cœur du droit à un procès équitable ( 60 ) et se rattache clairement à l’exercice d’une « fonction juridictionnelle ». Cette communication s’inscrit dans le cadre plus large de la mission du pouvoir judiciaire moderne qui consiste à tenir le public informé de la
manière dont la justice a été rendue en son nom ( 61 ).
106. Contrairement à ce que le citoyen Z allègue, il importe peu, dans le cadre de ce raisonnement, que ce soit le service « Communication » du Raad van State (Conseil d’État) – lequel est, à ma connaissance, composé de membres du personnel de cette juridiction qui ne sont pas des juges – qui ait communiqué les documents en cause. Outre le fait que, en raison de l’indépendance institutionnelle des juridictions, cette institution décide elle-même de la répartition interne des tâches, la juridiction
de renvoi a expliqué que, ainsi qu’il a été confirmé lors de l’audience par le gouvernement néerlandais, la communication litigieuse a eu lieu sous le contrôle du président P.
107. Toutefois, même si la décision de divulgation en cause était prise non pas par un service au sein de la juridiction nationale, mais par un organisme externe placé de manière générale sous le contrôle du juge national, le résultat serait le même. Il en est ainsi parce que, d’une part, si le type d’activité est couvert, la désignation, en vertu du droit national, de l’entité qui exerce cette activité importe peu. D’autre part, la diversité des structures au niveau national ne saurait se traduire
par un résultat différent dans le cas où une activité particulière sert uniquement de correctif à une désignation institutionnelle simple ( 62 ). Dans le cas contraire, une autorité de contrôle telle que l’autorité de la protection des données aurait un droit de regard sur la politique du Raad van State (Conseil d’État) en matière de relations avec la presse, ce qui, indirectement, lui permettrait de soumettre à son examen une décision sur le fond rendue par cette juridiction pour ce qui est de
la publicité de la justice dans une affaire déterminée.
108. Cela m’amène à la question 1, sous a). Dans ce cadre, la juridiction de renvoi se demande si elle doit déterminer dans chaque affaire concrète si le contrôle a une incidence sur l’indépendance des juges.
109. La réponse est « non ». Comme je l’ai expliqué ci-dessus ( 63 ), la mention de la « fonction juridictionnelle » au considérant 20 du RGPD ne saurait être comprise comme imposant d’examiner s’il existe, dans chaque cas d’espèce, une menace pour l’indépendance du pouvoir judiciaire. Elle constitue plutôt la formulation générale de la finalité de la disposition de l’article 55, paragraphe 3, de ce règlement, qui est de nature institutionnelle. Cette formulation de la finalité conduit à inclure
dans le champ d’application de cet article 55, paragraphe 3, de manière plutôt préventive, tous les types d’activités juridictionnelles pour lesquels le contrôle de leur conformité avec le RGPD est susceptible d’avoir une incidence, ne serait-ce qu’indirecte, sur l’indépendance des juges.
110. D’un point de vue plus pratique, il est possible d’ajouter que, outre les arguments de nature structurelle, constitutionnelle, une telle solution est également la seule solution raisonnable et pratique. En effet, qui soutiendrait sérieusement qu’une autorité nationale de contrôle au sens de l’article 55, paragraphe 1, du RGPD doit procéder, dans le cadre de la détermination de sa compétence pour connaître d’une affaire, à une appréciation complète et spécifique de chaque type d’opération de
traitement ? Ces autorités devraient-elles vraiment s’atteler à la tâche peu enviable de déterminer, au cas par cas, pour quelles opérations de traitement l’exercice d’un contrôle pourrait avoir une incidence sur l’indépendance de la juridiction nationale en question, et pour quelles opérations il ne le pourrait pas, et filtrer immédiatement ce que, en conséquence, elles sont autorisées à examiner ?
111. Cela est lié à la réponse à donner à la question 1, sous b). En effet, la nature et la finalité exactes d’une opération de traitement particulière ne sont pas déterminantes pour trancher la question structurelle consistant à savoir quand une juridiction agit dans l’exercice de sa « fonction juridictionnelle ». Certes, la transparence et l’administration de la justice sont particulièrement importantes pour les missions du pouvoir judiciaire moderne dans une société démocratique. Toutefois, ces
considérations ne jouent aucun rôle dans l’appréciation au titre de l’article 55, paragraphe 3, du RGPD, dès lors que l’opération de traitement en cause est inhérente à la notion plus large de « fonction juridictionnelle ». En effet, toute autre conclusion rétablirait subrepticement le type de lecture restrictive de cet article 55, paragraphe 3 qui a été proposé par la Commission.
112. Incidemment, c’est précisément ce point qui explique pourquoi la préservation de l’indépendance du pouvoir judiciaire peut uniquement se rattacher à l’objectif général et structurel qui a présidé à l’introduction de l’article 55, paragraphe 3, du RGPD et ne saurait constituer une condition qui doit être établie dans chaque cas d’espèce ( 64 ). S’il en était autrement, il serait relativement évident que « l’intérêt à la publicité et à la transparence de la justice », mentionné par la juridiction
de renvoi à titre de finalité pertinente du traitement de données considéré en l’espèce, est différent de la « préservation de l’indépendance des juges ».
113. Seules deux approches seraient alors envisageables. En premier lieu, il faudrait conclure que la publicité de la justice est un objectif différent de l’indépendance du pouvoir judiciaire. La divulgation aux journalistes échapperait alors au champ d’application de l’article 55, paragraphe 3, du RGPD, un résultat qui est tout bonnement exclu, aux dires de toutes les parties intéressées, y compris, d’ailleurs, la Commission. En second lieu, il faudrait alors étendre à l’excès la notion (déjà bien
large) d’« indépendance des juges », de manière à y inclure également la publicité et la transparence de la justice et, éventuellement, toute autre valeur, en faisant d’absolument tout ce qui se produit dans la sphère judiciaire un intérêt ou une valeur qui est inhérent à l’indépendance des juges. Or, cela reviendrait, à son tour, à inverser l’ensemble de la structure. L’indépendance des juges n’est pas un but en soi. Ce n’est pas une valeur intrinsèque. Elle est elle-même une valeur
intermédiaire, un moyen au service d’une fin, que le fait de disposer de juges indépendants doit permettre de réaliser : le règlement équitable et impartial des litiges.
114. Cela ne signifie nullement qu’une vérification de la nature et de la finalité d’une activité de traitement ne pourrait jamais être utile. Bien sûr qu’elle l’est. Toutefois, elle l’est non pas au stade de la détermination du champ d’application de l’article 55, paragraphe 3, du RGPD, mais au stade de la détermination de la licéité d’un traitement au regard de l’article 6, paragraphe 1, de ce règlement ou de toute autre disposition matérielle dudit règlement. Il pourrait, en fait, être tout à
fait pertinent d’analyser le point de savoir pourquoi une activité de traitement particulière a eu lieu lorsqu’il s’agit de déterminer si cette activité était, par exemple, « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement », au sens de l’article 6, paragraphe 1, sous e), du même règlement. De même, la nature et la finalité d’une opération de traitement relèveront naturellement de
l’appréciation du respect des principes énoncés à l’article 5 du RGPD.
115. C’est là qu’intervient la question 1, sous c), qui poursuit le même type de discussion. La vérification du point de savoir si une base juridique est nécessaire en droit national, ainsi que du type de base juridique qui est nécessaire, relève à nouveau du bien-fondé et de la question de la licéité du traitement. Il s’agit d’une question qui doit être examinée au regard de l’article 6 du RGPD. Toutefois, s’il ressort de manière générale du dossier que l’UAVG « transpose » le RGPD, il n’est fait
mention d’aucune discussion sur la manière dont l’article 6 de ce règlement a été pris en compte dans le traitement en cause en l’espèce. En outre, la licéité du traitement n’est pas une question directement soulevée par la juridiction de renvoi.
116. De manière générale, je ne peux que renvoyer aux observations récemment présentées sur ce point dans mes conclusions dans l’affaire SS (Traitement des données personnelles à des fins fiscales) ( 65 ). En effet, toute base juridique nationale créée en vertu de l’article 6 du RGPD doit uniquement couvrir ce qui est, quant à sa substance, une pratique générale et continue en matière de communication de documents à la presse. Lorsqu’une telle base juridique générale existe, je ne vois pas
l’utilité, pas plus que la proportionnalité, d’exiger qu’une décision soit rendue pour chaque opération de traitement ( 66 ).
D. Appendice : le RGPD et la fonction juridictionnelle
117. La présente affaire est comme un oignon. Elle comporte de nombreuses couches. Si l’on ne va pas au-delà de la couche extérieure des questions posées par la juridiction de renvoi, en les prenant et en y répondant littéralement, on peut effectivement s’arrêter à ce stade, ce que la Cour peut faire. La réponse au problème central auquel la juridiction de renvoi est confrontée, qui est exposé dans sa première question, relative à l’article 55, paragraphe 3, du RGPD, aurait été fournie.
118. Je pense qu’il serait possible, et dans le cadre de la présente affaire tout à fait justifié, de ne pas aller au-delà de cette couche extérieure. Il n’est pas nécessaire de peler l’oignon lorsque cela n’est pas expressément demandé.
119. Toutefois, en même temps, force est de constater que, pour ce qui est de la véritable teneur des questions posées, la juridiction de renvoi glisse progressivement de la question de la compétence au regard de l’article 55, paragraphe 3, du RGPD à l’appréciation au fond de l’affaire au regard, le cas échéant, de l’article 6 de ce règlement, en particulier par sa question 1, sous b) et c). Certes, ce glissement et ce passage d’un domaine à l’autre pourraient être attribués à la question inédite
soulevée par la juridiction de renvoi et aux contours peu clairs de l’interprétation de l’article 55, paragraphe 3, dudit règlement. Une fois cette interprétation fournie, tous les points sont clarifiés et ces considérations deviennent surabondantes.
120. Tout cela peut néanmoins également être considéré comme indiquant en fait autre chose, à savoir qu’il est assez difficile de séparer clairement la question de la compétence au regard de l’article 55, paragraphe 3, du RGPD de considérations sur le fond et de la question préalable du champ d’application de l’ensemble de l’instrument. En effet, si ce règlement n’était pas du tout applicable à certains types d’activités, quel serait l’intérêt de délibérer du point de savoir qui doit contrôler
celles-ci ( 67 ) ? Il en va de même dans l’hypothèse où un État membre exonérerait légalement les juridictions des obligations au titre du RGPD : si, au départ, il n’y avait pas d’obligations matérielles, il n’y aurait rien à contrôler.
121. Parallèlement, s’agissant davantage de la couche institutionnelle et procédurale de l’affaire, le citoyen Z a, dans ses observations écrites, émis des doutes quant à la compatibilité de l’article 55, paragraphe 3, du RGPD avec l’article 8, paragraphe 3, et l’article 47 de la Charte. Il considère que l’article 55, paragraphe 3, de ce règlement est invalide dans la mesure où cette disposition exclut les compétences de l’autorité de contrôle (généralement compétente) visée à cet article 55,
paragraphe 1, sans imposer simultanément aux États membres l’obligation de mettre en place une autre autorité indépendante, conformément au libellé de l’article 8, paragraphe 3, de la Charte et de l’article 16, paragraphe 2, TFUE. Cette lacune législative se traduit également, nécessairement, par des violations de l’article 47 de la Charte, voire, éventuellement, de l’article 19, paragraphe 1, TUE. Elle priverait le citoyen Z de tout recours effectif devant un tribunal indépendant.
122. Tout en tenant compte de l’ensemble de ce qui précède, il me paraît cependant préférable, eu égard au fait qu’aucune de ces questions n’a en fait été soulevée expressément par la juridiction de renvoi, mais aussi au vu de la portée, du contexte et des arguments débattus dans le cadre de la présente procédure, de laisser ces problèmes pour une autre affaire, si tant est qu’il soit effectivement nécessaire de les résoudre.
123. Je me bornerai donc à conclure par plusieurs observations relatives à l’économie des dispositions du RGPD en ce qui concerne la fonction juridictionnelle des tribunaux. J’ai tenté de comprendre la réflexion d’ordre législatif qui a présidé à l’aménagement de la substance, des exceptions et du contrôle du respect du RGPD. Je reste néanmoins perplexe quant à l’objectif exact qui était recherché lorsque l’activité juridictionnelle des tribunaux a été soumise aux obligations découlant de ce
règlement. Ma perplexité est relative à la nature intrinsèque de cette activité (1), mais également au point de savoir qui devrait être chargé de surveiller le respect du RGPD par les juges (2).
1. La substance : tout est légal
124. En quoi le RGPD, une fois appliqué aux tribunaux, modifie-t-il la manière dont la fonction juridictionnelle doit être exercée ? Compte tenu du champ d’application apparemment illimité de ce règlement, il peut sembler surprenant que les obligations qui en découlent pour cette fonction paraissent être étonnamment légères. Les dispositions matérielles dudit règlement soit prévoient déjà que tout traitement normal à des fins judiciaires est licite, soit renvoient aux dispositions complémentaires
(et éventuellement limitatives) des États membres, soit permettent, à tout le moins, une mise en balance généreuse avec certains droits et principes fondamentaux d’une société démocratique qui autorisera une nouvelle fois presque toutes les dérogations pour ce qui est de la fonction juridictionnelle.
125. L’article 6, paragraphe 1, sous e), du RGPD fournit un exemple à cet égard. Cette disposition considère comme licite, ex lege, toute opération de traitement « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi[e] » une juridiction nationale. Une dérogation similaire (bien que plus explicite) résulte de l’article 9, paragraphe 2, sous f), de ce règlement pour le traitement portant sur des catégories particulières de données à
caractère personnel. Lorsque l’une ou l’autre de ces dispositions est applicable, le consentement de la personne concernée n’est pas nécessaire, étant entendu que les États membres doivent déterminer plus précisément les modalités du traitement dans une telle situation ( 68 ). En d’autres termes, et sous réserve des principes relatifs au traitement des données qui sont énoncés à l’article 5 dudit règlement ( 69 ), ce règlement fournit lui-même la base juridique permettant de considérer comme
licite tout traitement de données à caractère personnel effectué par les juridictions nationales et nécessaire à l’exécution de leurs missions officielles.
126. De plus, en vertu de l’article 23, paragraphe 1, sous f), du RGPD, les États membres sont également autorisés à limiter la portée des droits et des obligations prévus aux articles 12 à 22 et à l’article 34 de ce règlement ainsi que, dans certains cas, à l’article 5 dudit règlement, afin de protéger « l’indépendance de la justice et [l]es procédures judiciaires ». Lors de l’audience, la Commission a expliqué que l’article 23, paragraphe 1, sous f), du RGPD devait être compris comme fonctionnant
de manière analogue à l’article 52, paragraphe 1, de la Charte et ne devait pas être considéré comme une nouvelle disposition limitant encore la compétence de l’autorité de contrôle.
127. Je partage le point de vue de la Commission sur ce point : l’article 23, paragraphe 1, sous f), du RGPD n’a pas de lien direct avec l’article 55, paragraphe 3, de ce règlement ( 70 ). Il autorise néanmoins une dérogation en bloc, par les États membres, à l’ensemble des droits des personnes concernées au titre du chapitre III dudit règlement pour ce qui semble également être un certain type d’activité juridictionnelle (« l’indépendance de la justice et [l]es procédures judiciaires »).
128. Enfin, tout cela est possible sans même avoir (encore) procédé à un type de mise en balance avec les droits ou intérêts fondamentaux autres que la protection des données, qui serait lié à l’appréciation de la licéité des différentes opérations de traitement (et du respect de l’exigence de minimisation/proportionnalité qu’elle comporte). Compte tenu des impératifs de transparence et de publicité de la justice, celles-ci sont susceptibles d’englober toute utilisation normale de données à
caractère personnel à des fins de jugement.
129. Le résultat paraît défaitiste : le droit de l’Union impose à la fonction juridictionnelle un cadre global de protection des données, lequel doit être respecté, tout en ouvrant un certain nombre de portes de sortie matérielles. Ajoutez à cela le « retrait de compétences » introduit par l’article 55, paragraphe 3, du RGPD et le droit en vigueur revient au point de départ, c’est-à-dire maintient le modus operandi des juridictions nationales avant l’introduction de ces règles. Cela soulève la
question de savoir pourquoi il était nécessaire d’adopter une telle série de règles disparates si, en réalité, ces règles n’ont pratiquement rien changé au niveau national.
130. Cela ne veut pas dire qu’un tel résultat ne doive pas être salué. J’admets tout à fait qu’il ne saurait être différent. Ce n’est pas uniquement pour tenir compte des diverses traditions constitutionnelles et judiciaires des États membres en matière de publicité de la justice ( 71 ). Il est, surtout, inhérent à la fonction juridictionnelle elle-même. Pour juger, il faut que des détails individualisés soient portés sur la place publique. Je souhaite insister sur les deux éléments de cette
proposition.
131. D’une part, le fondement de la légitimité de la justice dans une affaire déterminée est constitué par les faits et les détails de cette dernière. Le juge tranche un litige déterminé. Son travail ne consiste pas à rédiger une réglementation abstraite, générale et anonyme détachée des faits et situations individuels. C’est là le travail du législateur. Plus une décision judiciaire s’écarte ou cache le cadre factuel d’une affaire jugée par une juridiction publique – ou si elle est rapportée
ultérieurement avec des limitations importantes –, plus elle devient incompréhensible, et moins elle est légitime en tant que décision judiciaire ( 72 ).
132. D’autre part, depuis l’époque romaine, mais vraisemblablement déjà plus tôt, si un demandeur sollicitait l’aide de la communauté ou, plus tard, de l’État pour qu’il soit fait droit à sa demande et que cette décision soit exécutée par l’État, il était tenu de se présenter sur la place publique, le forum, et d’y exposer sa cause. À l’époque de la Rome classique, le requérant était même en droit de recourir à la violence contre le défendeur qui refusait de comparaître en public (dans la partie
nord-est du forum romain appelée comitium), devant le magistrat (assis sur un fauteuil roulant placé sur une tribune dominant le public – d’où, d’ailleurs, le terme « tribunal »), lorsqu’il était attrait devant une juridiction (in jus vocatione) ( 73 ).
133. Il est vrai que d’autres conceptions d’une bonne administration de la justice et de la publicité de celle-ci ont prévalu par la suite. La meilleure idée en est peut-être donnée par une citation d’un juge du Parlement de Paris qui rédigeait des instructions à l’attention de ses jeunes collègues en 1336 et qui expliquait pourquoi ils ne devaient jamais révéler les faits établis ou les motifs de leur décision : « [e]n effet, il n’est pas bon que quiconque puisse juger du contenu d’un arrêt ou dire
“il est similaire ou non” ; mieux vaut laisser tous les bavards étrangers dans l’ignorance et leur fermer la bouche, pour ne pas causer de préjudice à autrui. [...] En effet, personne ne devrait connaître les secrets de la juridiction suprême, qui n’a pas de supérieur autre que Dieu [...] » ( 74 )
134. À l’époque moderne, il est à nouveau considéré, pour en revenir aux mots de Jeremy Bentham cités en introduction, que même de bavards étrangers doivent être autorisés à voir et à comprendre la justice. Certes, avec l’arrivée de technologies modernes, il faut continuellement réexaminer un certain nombre de problèmes, afin que les étrangers bavards ne puissent causer de préjudice à autrui.
135. Toutefois, tout changement de ce type, en particulier ceux qui touchent à la publicité et à la transparence de la justice, doit être limité au strict nécessaire, sans renverser les fondations de l’ensemble de la structure ( 75 ). Le fait de juger est et reste un processus décisionnel individualisé, ce qui suppose certains détails et données à caractère personnel, qui doit avoir lieu, en tout cas pour ce qui est de son résultat, sur la place publique.
136. Pour terminer sur ce point par un exemple spécifique déjà évoqué dans les présentes conclusions ( 76 ), le RGPD ne contient, à mon sens, aucun droit à un « procès anonyme ». Au vu de tout ce qui a été exposé ci-dessus, il paraît bizarre et dangereux de penser que les demandeurs qui se rendent sur la place publique aux fins de la résolution de leur conflit, un lieu où les juges parlent au nom de la communauté et agissent sous le regard attentif de leurs concitoyens, devraient avoir droit à ce
que leur identité soit tenue secrète, y compris à l’égard de la juridiction saisie de l’affaire elle-même, et à ce que leur affaire soit anonymisée par défaut, sans que cet anonymat soit justifié par un motif grave et spécifique ( 77 ).
137. Certes, la publicité de la justice n’est pas absolue. Il y a des exceptions nécessaires et fondées ( 78 ). Ce qu’il faut simplement garder à l’esprit à ce propos, c’est le point de savoir ce qui est la règle et ce qui est l’exception. La publicité et la transparence doivent rester la règle, à laquelle des exceptions sont naturellement possibles et parfois nécessaires. Toutefois, à moins d’interpréter le RGPD en ce sens qu’il impose le rétablissement des meilleures pratiques du Parlement de
Paris du XIVe siècle, ou d’autres éléments de l’Ancien Régime ou, d’ailleurs, de la ou des Star Chamber(s) ( 79 ), il est assez difficile d’expliquer pourquoi il faudrait maintenant, au nom de la protection des données à caractère personnel, inverser ce rapport : le secret et l’anonymat devraient devenir la règle, tandis que la transparence pourrait peut-être, occasionnellement, devenir une exception bienvenue à cette règle.
138. En conclusion et de manière générale, on ne peut que s’interroger à nouveau, en ce qui concerne l’économie globale des dispositions pour ce qui est de l’application du RGPD à l’égard de l’activité juridictionnelle des tribunaux, sur la raison pour laquelle le système serait conçu (tout d’abord) pour tout inclure, puis (plus tard) pour exclure en fait les effets de cette large couverture en vertu de dispositions matérielles isolées ou, potentiellement, totalement en vertu de l’article 23,
paragraphe 1, sous f), de ce règlement. Dans ce cas, les juridictions nationales n’auraient-elles pas dû, dans le cadre de l’« exercice de leur fonction juridictionnelle », être purement et simplement exclues du champ d’application dudit règlement ?
2. Les institutions et les procédures : quis custodiet ipsos custodes ?
139. La couche matérielle est liée à la couche institutionnelle. Cette question ajoute au point de savoir « pourquoi », du point de vue matériel, qui est déjà assez complexe, le point de savoir « comment ». Comment, en pratique, les juridictions agissant dans l’exercice de leur fonction juridictionnelle doivent-elles être contrôlées pour ce qui est du point de savoir si elles se sont conformées au RGPD, et par qui exactement ? En effet, si les juridictions nationales sont tenues d’appliquer ce
règlement, sans que les autorités de contrôle compétentes doivent assurer le contrôle des activités s’inscrivant « dans l’exercice de leur fonction juridictionnelle », par application de l’article 55, paragraphe 3, dudit règlement, qui fera respecter le droit fondamental d’une personne à la protection des données à caractère personnel la concernant, qui est garanti par l’article 8, paragraphes 1 et 3, de la Charte ?
140. C’est là où, à mon avis, le lien entre l’article 55, paragraphe 3, et le considérant 20 du RGPD pose certains problèmes.
141. Toutes les parties à la présente procédure expliquent que l’article 55, paragraphe 3, du RGPD doit être lu à la lumière du considérant 20 de ce règlement. Ce considérant énonce que, lorsque les autorités nationales de contrôle surveillent et font respecter le RGPD, ces missions ne devraient cependant pas porter atteinte au principe de l’indépendance des juges aux fins du contrôle des opérations de traitement des « juridictions dans l’exercice de leur fonction juridictionnelle ». La troisième
phrase du considérant 20 du RGPD précise ensuite qu’« [i]l devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre ».
142. Pour autant, l’approche suggérée à ce considérant 20 est-elle compatible avec le critère de l’« indépendance » au sens de l’article 8, paragraphe 3, de la Charte ? En effet, comment une « juridiction de contrôle », ainsi créée par les États membres dans le cadre de leurs structures judiciaires nationales pour assurer le respect du RGPD, peut-elle agir comme un tiers indépendant des juridictions qui auraient commis une violation de ce règlement ? Cela ne constitue-t-il pas un problème au regard
de l’article 47 de la Charte ?
143. Une réflexion sur le point de savoir quelle structure institutionnelle et procédurale serait appropriée pour ce type de situation donne rapidement un sentiment de déjà-vu, car elle rappelle les discussions ouvertes par l’affaire ayant donné lieu à l’arrêt Köbler ( 80 ). Qui doit statuer sur la responsabilité de l’État pour violation du droit de l’Union par le juge ? D’autres juridictions « normales » au sein du système judiciaire, avec le risque que la juridiction suprême statue un jour sur sa
propre responsabilité ? Ou une super-juridiction spécialement créée ? Que faire si cette super-juridiction se trompe également ? À cet égard, le considérant 20 du RGPD soulève à nouveau la difficulté que les États membres avaient déjà mise en avant dans l’affaire Köbler : à savoir, le risque de compromettre l’indépendance « réelle » des juges au moyen d’un droit externe, opposable, au contrôle des actes ou des omissions du juge au regard des règles sur la protection des données ( 81 ).
144. Toutefois, à la différence de l’affaire Köbler, dans laquelle un certain nombre d’esprits raisonnables pouvaient, vraisemblablement, comprendre le principe selon lequel les États membres devraient être obligés de réparer les dommages causés par une juridiction de dernier ressort rendant une décision qui viole le droit de l’Union ( 82 ), il est très difficile de voir pourquoi une telle indépendance « réelle » devrait être sacrifiée sur l’autel du contrôle du respect d’un instrument de droit
dérivé, tel que le RGPD, qui prévoit déjà d’autres modalités de mise en œuvre. Il ne saurait, certes, être nié que cet instrument trouve des fondements solides, en droit primaire, à l’article 8 de la Charte et à l’article 16 TFUE. Ce que je veux dire, c’est que le droit d’introduire un recours à l’encontre des juridictions en tant que responsables du traitement, et de se voir accorder une indemnisation, existe séparément, en vertu des articles 79 et 82 du RGPD, et indépendamment de
l’article 55, paragraphe 3, de celui-ci.
145. Dans le même temps, une solution possible pourrait être trouvée si la troisième phrase du considérant 20 du RGPD n’était pas prise trop littéralement. En effet, il ne s’agit après tout que d’un considérant et non d’une disposition législative autonome et donc contraignante ( 83 ). Si telle était l’approche suivie, ce qui semble être le cas dans certains États membres, les dispositions matérielles du RGPD seraient simplement considérées comme établissant des droits qui pourraient être invoqués
devant les juridictions nationales, dans le cadre des procédures judiciaires normales prévues dans cet État membre ( 84 ).
146. Si telle était effectivement la voie institutionnelle et procédurale choisie, on pourrait éviter tant le problème consistant à laisser un « tiers dépendant » contrôler les activités du pouvoir judiciaire que la nécessité de créer une super-juridiction pour surveiller d’autres juridictions. Cela étant, dans le cadre de cette approche, il demeure vraisemblable qu’il ne serait pas satisfait à l’exigence découlant de l’article 8, paragraphe 3, de la Charte, selon laquelle une autorité
« indépendante » doit contrôler le respect du droit à la protection des données à caractère personnel ( 85 ).
147. De ce point de vue, la solution de la « juridiction interne » semble être la seule possibilité praticable pour résoudre l’épineux problème, évoqué ci-dessus, constitué par l’insertion de la superstructure du RGPD dans le monde assez spécifique du pouvoir judiciaire national ( 86 ).
148. Or, à supposer même que le seul moyen compatible avec la Charte serait de mettre en place une telle autorité de « contrôle interne », la question de savoir ce que cette autorité est précisément censée contrôler semble toujours être un peu floue.
149. Premièrement, ainsi qu’il a été exposé à la section précédente des présentes conclusions, le RGPD présume que les opérations de traitement de données effectuées par les juridictions sont licites et permet, en sus de cette présomption généralisée, de limiter, par des mesures législatives nationales, certains droits et obligations ainsi que des principes fondateurs relatifs au traitement des données à caractère personnel.
150. Deuxièmement, dans la plupart, voire dans la totalité des États membres, les codes de procédure judiciaire nationaux qui s’appliquent aux procédures judiciaires régissent de manière beaucoup plus détaillée le traitement des données à caractère personnel au cours des différentes phases de la procédure : à savoir, ce qu’un document spécifique doit contenir et ce qu’il ne peut pas contenir ; qui a accès à quoi ; à quelles conditions quelles informations peuvent être supprimées/rectifiées ; quelles
obligations de confidentialité sont applicables ; quelles informations et données une décision de justice est censée contenir, etc. ( 87 ).
151. Troisièmement, la méconnaissance de ces règles par les juges nationaux est déjà soumise à un contrôle et à des sanctions potentielles, d’au moins deux types. D’une part, il y a les sanctions contre la décision elle-même, entraînant son annulation éventuelle. D’autre part, il existe des régimes de responsabilité personnelle des juges dans le cadre de procédures disciplinaires.
152. Compte tenu de cet environnement législatif, on imaginerait que le RGPD contienne des dispositions sur son interaction avec d’autres cadres législatifs. Quelle est la « lex specialis » et comment les différents cadres institutionnels et procéduraux sont-ils censés coexister ? Comment résoudre d’éventuels conflits entre les normes ? Hélas, ce règlement ne prévoit pas de règles relatives à de tels conflits, ce qui soulève par conséquent la question distincte de savoir si le RGPD doit bien être
compris comme l’emportant sur les règles de procédure nationales ou s’il doit être lu comme complétant celles-ci.
153. Si tel était le cas, cela implique-t-il, par exemple, que les personnes concernées pourraient demander aux juridictions nationales de « rectifier » leurs mémoires en dehors des délais de procédure nationaux (au titre de l’article 16 du RGPD) ( 88 ) ? Que se passerait-il si une partie, confrontée à une issue défavorable de l’affaire, réussissait à remplir les conditions requises pour invoquer son « droit à l’oubli » (au titre de l’article 17 du RGPD) afin que le jugement ou le procès-verbal soit
effacé de la mémoire judiciaire collective après le prononcé de ce jugement ( 89 ) ?
154. Au vu de la complexité de l’ensemble de ces nombreux aspects, il n’est peut-être pas tout à fait surprenant qu’un certain nombre d’États membres aient rencontré des difficultés compréhensibles dans le cadre de la mise en place de structures institutionnelles appropriées au regard de l’article 55, paragraphe 3, du RGPD, et néanmoins conformes à l’article 8, paragraphe 3, de la Charte ( 90 ).
155. Combinés, les deux éléments abordés dans la présente section, c’est-à-dire les éléments relatifs à la substance et ceux qui sont liés aux institutions et aux procédures, laissent un sentiment de perplexité déjà mentionné au début de la section D. Eu égard à la persistance de ces problèmes systémiques, pourquoi, au départ, créer de telles superstructures timides mais extrêmement étendues ? Pour faire respecter, en ce qui concerne l’activité juridictionnelle des tribunaux, des droits matériels
presque inexistants ? Le jeu en vaut-il vraiment la chandelle ?
V. Conclusion
156. Je propose à la Cour de répondre aux questions préjudicielles posées par le rechtbank Midden-Nederland (tribunal des Pays-Bas du Centre, Pays-Bas) de la manière suivante :
Question 1
L’article 55, paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) doit être interprété en ce sens que la pratique consistant à communiquer des pièces de procédure à un journaliste afin de lui permettre de mieux couvrir une
audience publique est suivie par les juridictions « dans l’exercice de leur fonction juridictionnelle ».
Question 1, sous a)
L’article 55, paragraphe 3, du règlement 2016/679 n’impose pas de déterminer si une opération de traitement effectuée par les juridictions nationales « dans l’exercice de leur fonction juridictionnelle » a une incidence sur l’indépendance du processus décisionnel judiciaire dans chaque affaire concrète.
Question 1, sous b)
La détermination de la nature et de la finalité d’une opération de traitement particulière ne fait pas partie des critères à prendre en compte, en vertu de l’article 55, paragraphe 3, du règlement 2016/679, pour établir si les juridictions nationales agissaient « dans l’exercice de leur fonction juridictionnelle ».
Question 1, sous c)
Aux fins de déterminer si une opération de traitement a été effectuée par les juridictions nationales « dans l’exercice de leur fonction juridictionnelle », au sens de l’article 55, paragraphe 3, du règlement 2016/679, il n’est pas pertinent de savoir si ces juridictions ont agi en vertu d’une base légale explicite en droit national.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : l’anglais.
( 2 ) Traduction libre de l’extrait figurant dans Burton, J. H. (sous la dir. de), Benthamiana : or Select Extracts from the Works of Jeremy Bentham, Lea & Blanchard, Philadelphie, 1844, p. 139.
( 3 ) Le texte cité a initialement été publié dans Bentham, J., Draught of a New Plan for the Organisation of the Judicial Establishment in France : Proposed as a Succedaneum to the Draught Presented, for the Same Purpose, by the Committee of Constitution, to the National Assembly, December 21st, 1789, Londres, 1790.
( 4 ) À titre d’illustration, dans la pratique du Parlement de Paris au xive siècle, les faits et les motifs d’une décision devaient être tenus secrets. Ils étaient considérés comme relevant du délibéré, dont la confidentialité devait être préservée. Voir Dawson, J. P., The Oracles of the Law, The University of Michigan Law School, 1968, p. 286 à 289. Pour plus de détails, voir également Sauvel, T., « Histoire du jugement motivé », Revue du droit public et de la science politique en France et à
l’étranger, 61(5), 1955.
( 5 ) Voir, à titre d’information générale, les Dutch Judiciary Press Guidelines de 2013, qui peuvent être consultées à l’adresse suivante : https://www.rechtspraak.nl/SiteCollectionDocuments/Press-Guidelines.pdf, article 2.3, et les notes explicatives figurant aux pages 6 et 7 de ces lignes directrices.
( 6 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 7 ) Les noms des parties au principal ont été légèrement modifiés pour mieux guider le lecteur, d’une façon plus digeste, à travers le labyrinthe de la pseudonymisation/anonymisation adoptée par la Cour depuis 2018 (voir communiqué de presse de la Cour de justice de l’Union européenne du 29 juin 2018, « À partir du 1er juillet 2018, les affaires préjudicielles impliquant des personnes physiques seront anonymisées » (https://curia.europa.eu/jcms/upload/docs/application/pdf/2018‑06/cp180096fr.pdf).
En effet, si la prose juridictionnelle future de la Cour est destinée à ressembler à un roman de Kafka, pourquoi ne pas adopter également certains éléments littéraires positifs de Kafka ?
( 8 ) Voir arrêt du 10 décembre 2018, Wightman e.a. (C‑621/18, EU:C:2018:999, point 27).
( 9 ) Voir arrêt du 18 mai 2021, Asociaţia « Forumul Judecătorilor Din România » e.a. (C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 116 et jurisprudence citée).
( 10 ) Voir arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, point 73 et jurisprudence citée).
( 11 ) Voir, par exemple, arrêts du 18 juillet 2007, Lucchini (C‑119/05, EU:C:2007:434, point 43) ; du 26 mai 2011, Stichting Natuur en Milieu e.a. (C‑165/09 à C‑167/09, EU:C:2011:348, point 47), et du 26 avril 2017, Farkas (C‑564/15, EU:C:2017:302, point 37).
( 12 ) Voir article 2, paragraphe 1, et article 4, point 2, du RGPD.
( 13 ) Voir, par exemple à cet égard, par contraste, article 2, point 2, de la directive 2003/4/CE du Parlement européen et du Conseil, du 28 janvier 2003, concernant l’accès du public à l’information en matière d’environnement et abrogeant la directive 90/313/CEE du Conseil (JO 2003, L 41, p. 26).
( 14 ) Voir, en ce sens, arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, point 47 et jurisprudence citée).
( 15 ) En ce qui concerne le rapport entre l’article 55, paragraphe 1, et l’article 56, paragraphe 1, du RGPD, voir arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, points 47 à 50).
( 16 ) Voir, par exemple, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, points 71 à 72 et 76 à 77), dans lequel la communication au public de certaines données à caractère personnel et l’accès du public à une base de données contenant ces données personnelles ont tous deux été considérés comme des « opérations de traitement » aux fins de l’application de l’article 2, paragraphe 1, du RGPD, et du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492,
points 97 à 123), dans lequel deux traitements de données à caractère personnel différents, par deux sociétés différentes, se produisant « en amont » et « en aval », ont été examinés. En ce sens, voir, également, arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, points 60 à 69), concernant des activités de traitement multiples, de la part d’autorités différentes, relatives aux données fiscales de personnes physiques.
( 17 ) Voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 62).
( 18 ) Voir article 4, point 1, du RGPD. En ce qui concerne l’interprétation large de la notion de données à caractère personnel, voir, par exemple, arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, point 62).
( 19 ) En effet, cela devrait être le point de départ de l’appréciation des droits et obligations éventuels des parties en vertu du RGPD. Voir arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 72 et 74), ainsi que mes conclusions dans l’affaire SS (Traitement des données personnelles à des fins fiscales) (C‑175/20, EU:C:2021:690, point 42).
( 20 ) Conformément aux termes mêmes de l’article 4, point 2, du RGPD.
( 21 ) Voir, par exemple, arrêts du 29 juin 2010, Commission/Bavarian Lager (C‑28/08 P, EU:C:2010:378, point 69), et du 19 avril 2012, Bonnier Audio e.a. (C‑461/10, EU:C:2012:219, point 52).
( 22 ) Voir, par exemple, arrêts du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54, point 45), et du 6 octobre 2020, Privacy International (C‑623/17, EU:C:2020:790, point 41), dans le contexte de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37).
Voir, également, arrêt du 6 octobre 2015, Schrems (C‑362/14, EU:C:2015:650, point 45), dans le contexte de transferts de données vers un pays tiers.
( 23 ) Voir point 42 des présentes conclusions. Toutefois, voir aussi point 47 des présentes conclusions, relatif à la nécessité d’être clair pour ce qui est de l’opération de traitement spécifique permettant de déterminer les droits et obligations qui en découlent.
( 24 ) Voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 57). Toutefois, voir conclusions de l’avocate générale Sharpston dans l’affaire Commission/Bavarian Lager (C‑28/08 P, EU:C:2009:624, points 142 à 150).
( 25 ) Voir, par exemple, arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535, point 68).
( 26 ) Arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 66 et jurisprudence citée).
( 27 ) De surcroît, ce considérant, lui-même beaucoup moins large que l’article 2, paragraphe 2, sous a), du RGPD, a été interprété de manière fortement réductrice – voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, points 66 à 68).
( 28 ) Voir considérants 16 et 19 du RGPD.
( 29 ) Laquelle doit, de surcroît, à nouveau être interprétée de manière restrictive et donc être limitée aux activités exclusivement personnelles ou domestiques – voir, par exemple, arrêt du 11 décembre 2014, Ryneš (C‑212/13, EU:C:2014:2428, point 30).
( 30 ) Certes, je pourrais toujours tenter d’invoquer l’article 6, paragraphe 1, sous c) (dans un pub, le commérage est une obligation légale à laquelle je suis soumis en vertu des conventions sociales) ou le paragraphe 1, sous d), de cet article (la transmission de l’information est nécessaire à la sauvegarde de l’intérêt vital de mes amis, en d’autres termes d’une autre personne physique, à avoir un sujet de conversation au pub) du RGPD. Il me semble, cependant, qu’une autorité nationale de
protection des données ne se laisserait pas impressionner par un raisonnement aussi novateur.
( 31 ) C’est peut-être l’un des motifs pour lesquels, pour des raisons tenant « tant au bon sens qu’à la justice », la Court of Appeal (England & Wales) [Cour d’appel (Angleterre et pays de Galles), Royaume-Uni] a jugé que l’acte consistant à anonymiser des données à caractère personnel ne constituait pas lui-même un « traitement » au sens du UK Data Protection Act (loi du Royaume-Uni sur la protection des données) de 1998. Voir arrêt rendu le 21 décembre 1999 dans l’affaire Regina v Department of
Health, Ex Parte Source Informatics Ltd [1999] EWCA Civ 3011, point 45.
( 32 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 33 ) Conclusions de l’avocate générale Sharpston dans l’affaire Commission/Bavarian Lager (C‑28/08 P, EU:C:2009:624, points 135 à 146).
( 34 ) Un organe consultatif institué par l’article 29 de la directive 95/46, désormais remplacé par le comité européen de la protection des données, institué conformément à l’article 68 du RGPD (ci-après le « groupe de travail “article 29” sur la protection des données »).
( 35 ) Voir avis 4/2007 sur le concept de données à caractère personnel, adopté par le groupe de travail « article 29 » sur la protection des données (01248/07/FR WP 136, 20 juin 2007, p. 4 et 5).
( 36 ) Ibid., p. 6.
( 37 ) Historiquement, personne ne voyait d’objection au traitement de données à caractère personnel, tant que cela ne s’inscrivait pas dans le cadre de la création de fichiers et de bases de données comportant d’importants ensembles de données, qui permettaient de créer de nouvelles connaissances et de nouvelles données par l’agrégation automatisée des données et l’accès facilité à celles-ci. Cette expérience et cette nécessité historiques ne devraient-elles pas également guider la présente
interprétation de la législation mise en place à cette fin spécifique ?
( 38 ) Arrêt du 29 juin 2010 (C‑28/08 P, EU:C:2010:378, points 70 et 71).
( 39 ) Voir aussi, pour plus de détails, mes conclusions dans l’affaire SS (Traitement des données personnelles à des fins fiscales) (C‑175/20, EU:C:2021:690, points 35 à 41).
( 40 ) Considérant 4 du RGPD.
( 41 ) Pour un aperçu des divers autres domaines de droit qui comportent une telle démarcation, voir, respectivement, mes conclusions dans les affaires Friends of the Irish Environment (C‑470/19, EU:C:2020:986, points 71 à 75, 81 et 82) et Commission/Breyer (C‑213/15 P, EU:C:2016:994, points 52 à 64).
( 42 ) Voir mes conclusions dans l’affaire Pula Parking (C‑551/15, EU:C:2016:825, points 85 et 86).
( 43 ) Voir mes conclusions dans l’affaire Friends of the Irish Environment (C‑470/19, EU:C:2020:986, point 87).
( 44 ) Voir, à titre d’exemple d’une telle situation, arrêt du 16 décembre 2008, Cartesio (C‑210/06, EU:C:2008:723, point 57 et jurisprudence citée).
( 45 ) Voir mes conclusions dans l’affaire Friends of the Irish Environment (C‑470/19, EU:C:2020:986, point 71).
( 46 ) Voir point 39 des présentes conclusions.
( 47 ) Souligné par mes soins.
( 48 ) Voir arrêts du 27 février 2018, Associação Sindical dos Juízes Portugueses (C‑64/16, EU:C:2018:117, point 44) ; du 25 juillet 2018, Minister for Justice and Equality (Défaillances du système judiciaire) (C‑216/18 PPU, EU:C:2018:586, point 38) ; du 24 juin 2019, Commission/Pologne (Indépendance de la Cour suprême) (C‑619/18, EU:C:2019:531, point 72) ; du 2 mars 2021, A.B. e.a. (Nomination des juges à la Cour suprême – Recours) (C‑824/18, EU:C:2021:153, en particulier points 117 à 119), et du
18 mai 2021, Asociaţia « Forumul Judecătorilor Din România » e.a. (C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 188).
( 49 ) Voir, en dernier lieu, arrêt du 15 juillet 2021, Commission/Pologne (Régime disciplinaire des juges) (C‑791/19, EU:C:2021:596), et ordonnance de la vice-présidente de la Cour du 14 juillet 2021, Commission/Pologne (C‑204/21 R, EU:C:2021:593).
( 50 ) À supposer, bien entendu, que le Fédéraliste no 51 (« Si les hommes étaient des anges, aucun gouvernement ne serait nécessaire. Si les anges gouvernaient les hommes, ni les contrôles externes ni les contrôles internes sur le gouvernement ne seraient nécessaires ») reste applicable dans le cadre du RGPD.
( 51 ) Dans son registre central des activités de traitement (qui peut être consulté à l’adresse suivante : https://curia.europa.eu/jcms/jcms/p1_3301336/fr/), créé en application de l’article 31, paragraphe 5, du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et
abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39), la Cour mentionne elle-même les opérations de traitement en vue du paiement des rémunérations en tant qu’« activité administrative ». Voir https://curia.europa.eu/jcms/upload/docs/application/pdf/2021‑01/paie.pdf
( 52 ) En devenant peut-être ainsi un autre élément possible de pression indirecte – ce n’est pas un hasard si, dans un certain nombre de systèmes juridiques, la rémunération des juges est strictement déterminée par la loi, afin d’exclure intentionnellement toute influence potentielle exercée de cette façon.
( 53 ) Directive du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).
( 54 ) Arrêt du 21 septembre 2010 (C‑514/07 P, C‑528/07 P et C‑532/07 P, EU:C:2010:541).
( 55 ) Arrêt du 18 juillet 2017 (C‑213/15 P, EU:C:2017:563).
( 56 ) Règlement du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission (JO 2001, L 145, p. 43).
( 57 ) C‑470/19, EU:C:2020:986, points 90 à 92.
( 58 ) C‑204/09, EU:C:2011:413, point 73.
( 59 ) Voir, à cet égard, l’application de cette appréciation dans l’arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, points 104 à 116).
( 60 ) Voir, en ce sens, en ce qui concerne l’article 6, paragraphe 1, de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, arrêts de la Cour EDH du 8 décembre 1983, Axen c. Allemagne (CE:ECHR:1983:1208JUD000827378, § 32) ; du 22 février 1984, Sutter c. Suisse (CE:ECHR:1984:0222JUD000820978, § 26) ; du 14 novembre 2000, Riepan c. Autriche (CE:ECHR:2000:1114JUD003511597, § 27) ; du 12 juillet 2001, Malhous c. République
tchèque (CE:ECHR:2001:0712JUD003307196, § 62), et du 28 octobre 2010, Krestovskiy c. Russie (CE:ECHR:2010:1028JUD001404003, § 24).
( 61 ) Voir, à cet égard, arrêt de la Cour EDH du 26 avril 1979, Sunday Times c. Royaume-Uni (CE:ECHR:1979:0426JUD000653874, § 67).
( 62 ) Il est possible de songer, à cet égard, à l’hypothèse où le service « Communication » ne ferait pas partie de la juridiction, mais aurait été mis en place dans le cadre d’une institution distincte, comme c’était le cas pour les activités d’archivage dans l’arrêt du 15 avril 2021, Friends of the Irish Environment (C‑470/19, EU:C:2021:271, point 43). Pour une analyse plus approfondie, voir mes conclusions dans l’affaire Friends of the Irish Environment (C‑470/19, EU:C:2020:986, point 107).
( 63 ) Voir points 76 à 86 des présentes conclusions.
( 64 ) Comme cela a déjà été exposé ci-dessus, de manière générale, aux points 84 à 86 des présentes conclusions.
( 65 ) C‑175/20, EU:C:2021:690.
( 66 ) Voir mes conclusions dans l’affaire SS (Traitement des données personnelles à des fins fiscales)C‑175/20, EU:C:2021:690, points 83 à 85.
( 67 ) C’est également la raison pour laquelle les présentes conclusions doivent logiquement débuter (point 32 de celles-ci) par l’affirmation générale selon laquelle le RGPD est en principe applicable aux juridictions.
( 68 ) Voir considérants 40 et 52, article 6, paragraphes 2 et 3, ainsi que article 9, paragraphes 2 et 3, du RGPD.
( 69 ) Voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 96 et jurisprudence citée).
( 70 ) Du point de vue de la portée normative des deux dispositions. En pratique, ainsi qu’il a déjà été mentionné au point 120 des présentes conclusions, il n’y a guère de différence entre une limite au contrôle du fait de la compétence (au titre de l’article 55, paragraphe 3, du RGPD) et une limite au contrôle du fait d’une restriction matérielle relative à certaines activités [au titre de l’article 23, paragraphe 1, sous f), de ce règlement].
( 71 ) Ce n’est un secret pour personne que les différents États membres n’attachent pas la même importance à la transparence de la justice ou, à tout le moins, ont des conceptions différentes de cette transparence. Voir, par exemple, en ce qui concerne les enregistrements vidéo et audio de procédures judiciaires, Hess, B., et Koprivica Harvey, A., « Open Justice in Modern Societies : What Role for Courts ? », dans Hess, B. et Koprivica Harvey, A. (dir.), Open Justice : The Role of Courts in a
Democratic Society, Nomos, Baden-Baden, 2019, p. 30 à 35. En ce qui concerne les diverses traditions (souvent bien antérieures au RGPD) en matière d’anonymisation des parties aux procédures judiciaires aux fins de la publication ultérieure du jugement, voir Direction générale Bibliothèque, Recherche et Documentation, note de recherche intitulée « Anonymat des parties à l’occasion de la publication des décisions de justice » (mars 2017, modifiée en janvier 2019), qui peut être consultée à l’adresse
suivante : https://curia.europa.eu/jcms/upload/docs/application/pdf/2021‑02/ndr_2017‑002_neutralisee-finale.pdf, p. 9 et 10.
( 72 ) Incidemment, dans certains systèmes juridiques, les juridictions suprêmes s’exprimaient effectivement, par le passé, sous la forme de prononcés normatifs généraux, détachés d’une affaire déterminée ou tout à fait extérieurs à une telle affaire. C’est toujours le cas dans certains systèmes aujourd’hui. Toutefois, cette pratique est de plus en plus contestée du point de vue de la séparation des pouvoirs et de la légitimité de la justice. Voir, en ce sens, Kühn, Z., « The Authoritarian Legal
Culture at Work : The Passivity of Parties and the Interpretational Statements of Supreme Courts », Croatian Yearbook of European Law and Policy, vol. 2, 2008, p. 19.
( 73 ) Bartošek, M., Dějiny římského práva, Academia, Prague, 1995, p. 81, ou Sommer, O., Učebnice soukromého práva římského. 1. a 2 díl, Všehrd, Prague, 1946, p. 121 et 122. Voir, également, Harries, J., Law and Empire in Late Antiquity, Cambridge University Press, 1999, p. 101, 104 et 105.
( 74 ) Traduction libre à partir du texte rapporté dans Dawson, J. P., The Oracles of the Law, The University of Michigan Law School, Ann Arbor, 1968, p. 288 et 289.
( 75 ) Voir par exemple, à cet égard, McLachlin, B., « Courts, Transparency and Public Confidence – to the Better Administration of Justice », Deakin Law Review, vol. 8(1), 2003, p. 3 et 4. Voir aussi Bingham, T., The Rule of Law, Penguin, Londres, 2010, p. 8.
( 76 ) Voir note 7 des présentes conclusions.
( 77 ) Sur le problème de l’anonymisation excessive des décisions judiciaires, voir Wiwinius, J.-C., « Public Hearings in Judicial Proceedings », dans Hess, B. et Koprivica Harvey, A. (dir.), Open Justice : The Role of Courts in a Democratic Society, Nomos, Baden-Baden, 2019, p. 98 et 101.
( 78 ) Telles que la protection des personnes vulnérables, des enfants, des victimes de violence, des secrets d’affaires, des secrets nationaux, etc. Toutefois, dans tous ces cas, bien connus de tous les systèmes juridiques nationaux, les règles de procédure nationales prévoient généralement déjà des procédures spécifiques permettant d’exclure le public de certaines ou de toutes les phases de la procédure judiciaire et du jugement, y compris l’anonymat complet, compte tenu des besoins spécifiques
dans chaque affaire.
( 79 ) Voir Krynen, J., L’État de justice. France, XIIIe-XXe siècle : L’idéologie de la magistrature ancienne, Gallimard, Paris, 2009, p. 79 et suiv., ainsi que Van Caenegem, R. C., Judges, Legislators and Professors : Chapters in European Legal History, Cambridge University Press, 1987, p. 159.
( 80 ) Arrêt du 30 septembre 2003 (C‑224/01, EU:C:2003:513).
( 81 ) Voir arrêt du 30 septembre 2003, Köbler (C‑224/01, EU:C:2003:513, point 42).
( 82 ) Voir arrêt du 30 septembre 2003, Köbler (C‑224/01, EU:C:2003:513, point 59). Et ce, tout au moins, pour ce qui est des esprits issus de systèmes juridiques qui admettaient antérieurement, par principe, la responsabilité de l’État en raison d’une faute commise par une juridiction. Pour les autres, la responsabilité du juge au titre de décisions de dernier ressort pouvait toujours équivaloir à penser l’impensable, pour utiliser la formule figurant dans le titre d’un article remarquable – voir
Toner, H., « Thinking the Unthinkable ? State Liability for Judicial Acts after Factortame (III) », Yearbook of European Law, vol. 17, 1997, p. 165.
( 83 ) C’est un principe que la Cour ne cesse de réaffirmer – voir, par exemple, arrêts du 12 juillet 2005, Alliance for Natural Health e.a. (C‑154/04 et C‑155/04, EU:C:2005:449, points 91 et 92) ; du 21 décembre 2011, Ziolkowski et Szeja (C‑424/10 et C‑425/10, EU:C:2011:866, points 42 et 43), ou du 25 juillet 2018, Confédération paysanne e.a. (C‑528/16, EU:C:2018:583, points 44 à 46 et 51). Il faut néanmoins reconnaître que, comme cela est en fait déjà illustré par la dernière décision citée, la
pratique interprétative est en réalité un peu plus diversifiée.
( 84 ) Ainsi, concrètement, une plainte dirigée contre le traitement de données par une juridiction inférieure serait traitée de la même façon, par la juridiction d’appel, que toute autre plainte contre un acte de procédure de la juridiction inférieure, etc.
( 85 ) Rappelons que la jurisprudence relative à l’« indépendance » dans le cadre de l’article 28, paragraphe 1, du RGPD a maintenant également été alignée sur la conception générale de l’« indépendance » en droit de l’Union. Voir arrêt du 16 octobre 2012, Commission/Autriche (C‑614/10, EU:C:2012:631, points 41 à 44), et, à titre de comparaison, jurisprudence citée à la note 48 des présentes conclusions.
( 86 ) J’évite intentionnellement d’aborder la question sans fin de savoir si le contrôle de cette juridiction devrait être assuré au moyen d’une « super-juridiction interne », laquelle devrait ensuite être contrôlée par une « super-super-juridiction interne », etc. Pour une solution adoptée par la Cour elle-même, voir décision de la Cour de justice du 1er octobre 2019 instituant un mécanisme interne de contrôle en matière de traitement des données à caractère personnel effectué dans le cadre des
fonctions juridictionnelles de la Cour de justice (JO 2019, C 383, p. 2).
( 87 ) Voir, en ce qui concerne le droit applicable en Angleterre et au pays de Galles, en France, en Allemagne, en Italie, en Pologne et en Suède, Direction de la Recherche et Documentation, note de recherche intitulée « Modalités de gestion des données confidentielles dans le cadre des procédures judiciaires nationales » (octobre 2018), qui peut être consultée à l’adresse suivante : https://curia.europa.eu/jcms/upload/docs/application/pdf/2020‑11/ndr_2018‑007_neutralisee-finale.pdf, p. 2.
( 88 ) Voir arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994).
( 89 ) Avec tout le respect dû à l’arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317), il est peu probable qu’Internet oublie si un arrêt le lui ordonne. La jurisprudence postérieure, en particulier le volet relatif à la portée territoriale et à la mise en œuvre du « droit à l’oubli », s’apparente donc de plus en plus à un combat contre des moulins à vent.
( 90 ) Voir Direction générale de la Recherche et Documentation, note de recherche intitulée « Contrôle du respect des règles relatives à la protection des données à caractère personnel par les juridictions dans le cadre de l’exercice de leurs fonctions juridictionnelles » (juillet 2018), qui peut être consultée à l’adresse suivante : https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-11/ndr_2018-004_synthese-neutralisee-finale.pdf, p. 3.
