CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. JEAN RICHARD DE LA TOUR
présentées le 8 septembre 2022 ( 1 )
Affaire C‑132/21
BE
contre
Nemzeti Adatvédelmi és Információszabadság Hatóság,
en présence de
Budapesti Elektromos Művek Zrt.
[demande de décision préjudicielle formée par la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 77 à 79 – Réclamation auprès d’une autorité de contrôle – Recours juridictionnels – Articulation entre les voies de recours – Autonomie procédurale des États membres »
I. Introduction
1. La présente demande de décision préjudicielle porte sur l’interprétation de l’article 51, paragraphe 1, de l’article 52, paragraphe 1, de l’article 77, paragraphe 1, et de l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection
des données) ( 2 ).
2. Cette demande a été présentée dans le cadre d’un litige opposant BE à la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorité nationale chargée de la protection des données et de la liberté de l’information, Hongrie, ci-après l’« autorité de contrôle ») au sujet du rejet de la demande de BE de se voir communiquer des extraits de l’enregistrement sonore d’une assemblée générale des actionnaires à laquelle il avait participé.
3. Le RGPD a vocation à assurer l’application effective des règles relatives à la protection des données à caractère personnel, en prévoyant un système de voies de recours permettant à une personne concernée d’introduire une réclamation auprès d’une autorité de contrôle, un recours juridictionnel contre la décision prise par cette autorité et un recours juridictionnel contre un responsable de traitement ou son sous‑traitant si cette personne considère que les droits que lui confère ce règlement ont
été violés du fait d’un traitement de ses données à caractère personnel effectué en violation dudit règlement.
4. La Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie) souhaite obtenir de la Cour des précisions sur l’articulation de ces voies de recours et, plus précisément, sur les moyens d’éviter que des décisions contradictoires quant à l’existence d’une violation des droits protégés par le RGPD soient prononcées au sein d’un État membre.
5. L’enjeu de cette question est important dans la mesure où la volonté du législateur de l’Union d’assurer une protection juridictionnelle effective des droits conférés par le RGPD ainsi que de garantir un niveau de protection élevé et cohérent de ces droits ne paraît pas compatible avec l’existence de décisions contradictoires au sein d’un État membre, laquelle est source d’insécurité juridique.
6. Dans les présentes conclusions, je proposerai à la Cour de dire pour droit que l’article 78, paragraphe 1, du RGPD, lu en combinaison avec l’article 47 de la charte des droits fondamentaux de l’Union européenne ( 3 ), doit être interprété en ce sens que, en cas d’exercice par une personne concernée des voies de recours prévues à l’article 77, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement, la juridiction qui doit statuer sur un recours formé contre la décision d’une autorité de
contrôle n’est pas liée par la décision adoptée par une juridiction saisie au titre de cette dernière disposition quant à l’existence ou non d’une violation des droits que cette personne tire dudit règlement.
7. J’exposerai, dans cette optique, les raisons pour lesquelles l’article 77, paragraphe 1, et l’article 79, paragraphe 1, du RGPD doivent, selon moi, être interprétés en ce sens que les voies de recours qu’ils prévoient peuvent être exercées parallèlement, sans que l’une bénéficie d’une priorité par rapport à l’autre en vertu de ce règlement.
8. Je compléterai cette réponse en précisant que, en l’absence de réglementation de l’Union relative à l’articulation des voies de recours prévues aux articles 77 à 79 du RGPD, il incombe aux États membres, en vertu du principe de l’autonomie procédurale et eu égard tant à l’objectif de garantir un niveau de protection élevé et cohérent des droits conférés par ce règlement qu’au droit à un recours juridictionnel effectif, consacré à l’article 47 de la Charte, de mettre en place au niveau national
les mécanismes d’articulation de ces voies de recours nécessaires afin d’éviter que des décisions contradictoires au sujet d’un même traitement de données à caractère personnel puissent exister au sein d’un même État membre.
II. Le cadre juridique
A. Le RGPD
9. L’article 51, paragraphe 1, du RGPD dispose :
« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »
10. Aux termes de l’article 52, paragraphe 1, du RGPD :
« Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement. »
11. L’article 58, paragraphe 4, du RGPD dispose :
« L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte. »
12. L’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », est rédigé comme suit :
« 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.
2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »
13. L’article 78 du RGPD est intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle ». En vertu du paragraphe 1 de cet article :
« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »
14. L’article 79 du RGPD est intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous‑traitant ». Le paragraphe 1 de cet article est ainsi rédigé :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
B. Le droit hongrois
15. L’article 22 de la információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (loi no CXII de 2011 sur l’autodétermination en matière d’information et la liberté de l’information, ci-après la « loi sur l’information ») ( 4 ), du 26 juillet 2011, prévoit :
« Dans l’exercice de ses droits, la personne concernée peut, en vertu des dispositions du chapitre VI :
a) demander à [l’autorité de contrôle] d’ouvrir une enquête sur la licéité d’une mesure adoptée par le responsable du traitement, lorsque celui-ci a restreint l’exercice des droits de la personne concernée prévus à l’article 14 ou a rejeté une demande de la personne concernée tendant à l’exercice par celle-ci de ses droits, et
b) demander la mise en œuvre par [l’autorité de contrôle] d’une procédure administrative de protection des données lorsqu’elle estime que, lors du traitement de ses données à caractère personnel, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable ou sur la base des instructions de celui-ci a violé les obligations en matière de traitement des données à caractère personnel prévues par ou en vertu de la loi, ou par un acte contraignant de l’Union [...] »
16. L’article 23 de la loi sur l’information énonce :
« (1) La personne concernée peut agir en justice contre le responsable du traitement, ou contre le sous-traitant en ce qui concerne les opérations de traitement relevant des activités de celui-ci, si elle estime que le responsable du traitement ou le sous-traitant agissant pour le compte du responsable ou sur la base des instructions de celui-ci a traité ses données à caractère personnel en violation des obligations en matière de traitement des données à caractère personnel prévues par ou en
vertu de la loi, ou par un acte contraignant de l’Union [...]
[...]
(4) Peut également être partie à la procédure juridictionnelle une personne qui n’a pas, par ailleurs, la capacité d’ester en justice. [L’autorité de contrôle] peut intervenir dans la procédure juridictionnelle au soutien des conclusions de la personne concernée.
(5) Si la juridiction fait droit au recours, elle constate l’existence de la violation, ordonne au responsable du traitement ou au sous-traitant
a) de faire cesser l’opération de traitement de données illicite,
b) de rétablir la licéité du traitement des données, ou
c) d’adopter un comportement déterminé pour assurer l’effectivité des droits de la personne concernée,
et, si nécessaire, se prononce par la même occasion sur les demandes d’indemnisation du dommage matériel et du dommage moral. »
III. Les faits du litige au principal et les questions préjudicielles
17. Après avoir assisté à l’assemblée générale du 26 avril 2019 de la société anonyme dont il est actionnaire, BE a demandé à celle-ci de lui communiquer l’enregistrement sonore réalisé au cours de cette assemblée.
18. La société anonyme, en tant que responsable du traitement de ces données, n’a mis à la disposition de BE que les extraits de l’enregistrement reproduisant ses interventions, à l’exclusion de celles des autres participants.
19. BE, souhaitant disposer des extraits reproduisant les réponses des participants à ses questions posées au cours de l’assemblée générale du 26 avril 2019, a saisi l’autorité de contrôle en lui demandant de constater le comportement illicite de la société anonyme ainsi que d’ordonner à celle-ci la transmission de ces extraits. L’autorité de contrôle a rejeté cette demande par décision du 29 novembre 2019.
20. À la suite de ce rejet, BE a introduit un recours contre cette décision de l’autorité de contrôle devant la juridiction de renvoi, sur le fondement de l’article 78, paragraphe 1, du RGPD, en vue de la réformation, à titre principal, ou de l’annulation, à titre subsidiaire, de ladite décision.
21. Parallèlement à la saisine de l’autorité de contrôle, BE a saisi une juridiction civile d’un recours contre le responsable du traitement, au titre de l’article 79, paragraphe 1, du RGPD.
22. Alors que le recours était toujours pendant devant la juridiction de renvoi, la Fövárosi Ítélötábla (cour d’appel régionale de Budapest‑Capitale, Hongrie) a fait droit au recours de BE introduit sur le fondement de cette disposition, en constatant que le responsable du traitement avait violé le droit d’accès de BE à ses données à caractère personnel en ne mettant pas à sa disposition, malgré sa demande, les parties de l’enregistrement sonore qui contenaient les réponses à ses questions ( 5 ). Ce
jugement rendu par une juridiction civile de deuxième instance est devenu définitif.
23. Dans le cadre de son recours devant la juridiction de renvoi, BE demande qu’il soit tenu compte de la conclusion à laquelle cette juridiction civile est parvenue dans son jugement.
24. La juridiction de renvoi se demande si des enseignements peuvent être tirés du droit de l’Union quant à l’articulation des compétences respectives, d’une part, de l’autorité de contrôle saisie d’une réclamation, au titre de l’article 77, paragraphe 1, du RGPD, et de la juridiction administrative qui est compétente, en vertu de l’article 78, paragraphe 1, de ce règlement pour contrôler la légalité des décisions prises par cette autorité ainsi que, d’autre part, de la juridiction civile qui est
compétente, en vertu de l’article 79, paragraphe 1, dudit règlement, pour statuer sur un recours introduit par une personne qui estime que les droits qu’elle tire de ce même règlement ont été violés.
25. En effet, la juridiction de renvoi relève que l’exercice parallèle des voies de recours prévues par ces dispositions est susceptible d’aboutir à l’adoption de décisions contraires concernant des faits identiques.
26. Une telle situation serait, selon cette juridiction, susceptible d’entraîner un risque d’insécurité juridique. La juridiction de renvoi observe, à cet égard, que, selon les règles de procédure nationales, la décision de l’autorité de contrôle ne lie pas la juridiction civile. Il n’est donc pas exclu que cette dernière puisse, sur des faits identiques, rendre une décision contraire à celle de l’autorité de contrôle.
27. La juridiction de renvoi indique que, en l’occurrence, conformément aux règles de procédure nationales, les conditions d’une intervention de l’autorité de contrôle devant la juridiction civile n’étaient pas réunies. Par ailleurs, selon ces règles, le jugement d’une juridiction civile ne lie pas une juridiction administrative dans le cadre du contrôle de légalité de la décision de l’autorité de contrôle qu’elle doit effectuer, conformément à l’article 78, paragraphe 1, du RGPD.
28. Dans la mesure où l’autorité de contrôle et la juridiction civile qui s’est prononcée en dernier lieu ont adopté des positions contraires au sujet de l’existence d’une violation des règles relatives à la protection des données à caractère personnel, la juridiction de renvoi souhaite savoir si des éléments issus du droit de l’Union permettent d’articuler des voies de recours qui sont exercées de manière parallèle. Elle mentionne, à titre de comparaison, les règles qui existent dans le domaine du
droit de la concurrence ( 6 ).
29. Cette juridiction relève également que, à la différence des circonstances qui ont donné lieu à l’arrêt du 27 septembre 2017, Puškár ( 7 ), la législation hongroise n’impose pas l’épuisement des possibilités de recours administratif comme condition préalable à la saisine d’une juridiction.
30. Cependant, le droit à un recours effectif ainsi que l’objectif de garantir un niveau élevé de protection des droits conférés par le RGPD impliqueraient d’assurer la cohérence dans l’application de ce règlement. Afin de parvenir à ce résultat, il serait nécessaire de déterminer laquelle des voies de recours pouvant être exercées de manière parallèle devrait être prioritaire.
31. À cet égard, la juridiction de renvoi indique qu’elle partage l’avis de l’autorité de contrôle lorsque celle-ci fait valoir que l’habilitation prévue à l’article 51, paragraphe 1, du RGPD ainsi que les missions et les pouvoirs prévus respectivement à l’article 57, paragraphe 1, sous a) et f), ainsi qu’à l’article 58, paragraphe 2, sous b) et c), de ce règlement confèrent à cette autorité une compétence prioritaire pour examiner et contrôler le respect des obligations instituées par ledit
règlement. Elle propose donc à la Cour de retenir une interprétation selon laquelle, lorsqu’une procédure est en cours ou a été menée à son terme devant l’autorité de contrôle pour une même violation, c’est la décision de cette autorité – de même que celle de la juridiction administrative qui a contrôlé la légalité de cette décision – qui doit prioritairement résoudre la question de l’existence de la violation des règles prévues par le RGPD. Par conséquent, les constatations faites par les
juridictions civiles, agissant en vertu de l’article 79 du RGPD, ne seraient pas contraignantes dans les procédures menées au titre des articles 77 et 78 de ce règlement.
32. Si, au contraire, la primauté de la compétence de l’autorité de contrôle pour constater une violation des droits conférés par le RGPD n’était pas reconnue, la juridiction de renvoi estime qu’elle devrait, au regard du principe de sécurité juridique, se considérer comme étant liée par les conclusions du jugement définitif de la juridiction civile, sans apprécier elle-même la légalité des constatations faites par l’autorité de contrôle dans sa décision en ce qui concerne l’existence d’une telle
violation. La juridiction de renvoi considère que cela reviendrait à vider de sa substance la compétence prévue à l’article 78 de ce règlement.
33. Compte tenu de ces éléments, la Fővárosi Törvényszék (cour de Budapest-Capitale) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) [L’article 77, paragraphe 1, et l’article 79, paragraphe 1, du RGPD] doivent-ils être interprétés en ce sens que le recours administratif prévu à l’article 77 serait une voie d’application du droit de droit public, tandis que le recours juridictionnel prévu à l’article 79 serait une voie d’application du droit de droit privé ? Dans l’affirmative, faut-il en déduire que l’autorité de contrôle compétente pour connaître des recours administratifs jouit d’une compétence prioritaire pour
constater l’existence d’une violation ?
2) Lorsque la personne concernée, estimant que le traitement de données à caractère personnel la concernant a violé le [RGPD], exerce à la fois le droit de réclamation prévu à l’article 77, paragraphe 1, et le droit de recours juridictionnel prévu à l’article 79, paragraphe 1, dudit règlement, laquelle des deux interprétations suivantes est conforme à l’article 47 de la [Charte] :
a) l’autorité de contrôle et la juridiction saisie sont tenues d’examiner chacune de son côté s’il existe une violation, même si cela devait aboutir à des résultats différents, ou
b) la décision de l’autorité de contrôle prévaut dans l’appréciation de l’existence de la violation, compte tenu de l’habilitation prévue à l’article 51, paragraphe 1, et des pouvoirs conférés par l’article 58, paragraphe 2, sous b) et d), du [RGDP] ?
3) Le statut indépendant conféré à l’autorité de contrôle par l’article 51, paragraphe 1, et par l’article 52, paragraphe 1, du [RGPD] doit-il être interprété en ce sens que ladite autorité, lorsqu’elle traite une réclamation au titre de l’article 77 [de ce règlement] et statue sur celle-ci, n’est pas liée par le contenu d’un jugement définitif d’une juridiction compétente en vertu de l’article 79 [dudit règlement], de sorte qu’elle peut même rendre une décision différente sur la même violation
alléguée ? »
34. Des observations écrites ont été déposées par BE, par l’autorité de contrôle, par les gouvernements hongrois, tchèque, italien et polonais ainsi que par la Commission européenne. Une audience s’est tenue le 11 mai 2022, en présence de l’autorité de contrôle, des gouvernements hongrois et polonais ainsi que de la Commission.
IV. Analyse
35. À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, il appartient à la Cour, dans le cadre de la procédure de coopération avec les juridictions nationales instituée à l’article 267 TFUE, de donner au juge de renvoi une réponse utile qui lui permette de trancher le litige dont il est saisi et, dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises ( 8 ).
36. En outre, il importe de rappeler que, en vertu d’une jurisprudence constante de la Cour, le fait que la juridiction de renvoi a formulé une question en se référant seulement à certaines dispositions du droit de l’Union ne fait pas obstacle à ce que la Cour lui fournisse tous les éléments d’interprétation qui peuvent être utiles au jugement de l’affaire dont elle est saisie, qu’elle y ait fait ou non référence dans l’énoncé de ses questions. Il appartient, à cet égard, à la Cour d’extraire de
l’ensemble des éléments fournis par la juridiction nationale, et notamment de la motivation de la décision de renvoi, les éléments du droit de l’Union qui appellent une interprétation compte tenu de l’objet du litige ( 9 ).
37. Je relève que la juridiction de renvoi est actuellement saisie d’un recours contre une décision de l’autorité de contrôle ayant rejeté la réclamation de BE, ce qui correspond à la voie de recours visée à l’article 78, paragraphe 1, du RGPD.
38. Afin de pouvoir statuer sur ce recours, cette juridiction souhaite obtenir de la Cour des précisions quant à l’articulation entre, d’une part, la réclamation faite auprès d’une autorité de contrôle au titre de l’article 77, paragraphe 1, de ce règlement et, d’autre part, les voies de recours prévues à l’article 78, paragraphe 1, et à l’article 79, paragraphe 1, dudit règlement.
39. Concrètement, au stade où se situent les procédures nationales, la juridiction de renvoi souhaite connaître la marge de manœuvre dont elle dispose dans le cadre du contrôle de légalité de la décision de l’autorité de contrôle qu’elle doit effectuer, en application de l’article 78, paragraphe 1, du RGPD, eu égard au fait qu’une juridiction civile, saisie au titre de l’article 79, paragraphe 1, de ce règlement, a jugé dans un sens contraire à celui dans lequel cette autorité s’était prononcée
après avoir été saisie d’une réclamation, au titre de l’article 77, paragraphe 1, dudit règlement.
40. Dans ces conditions, il y a lieu, selon moi, de considérer que, par ses questions, la juridiction de renvoi demande, en substance, à la Cour de dire pour droit si l’article 78, paragraphe 1, du RGPD doit être interprété en ce sens que, en cas d’exercice par une personne concernée des voies de recours prévues à l’article 77, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement, la juridiction qui doit statuer sur un recours formé contre la décision d’une autorité de contrôle est liée
par la position adoptée par une juridiction saisie au titre de cette dernière disposition quant à l’existence d’une violation des droits que cette personne tire dudit règlement.
41. Il ressort de la décision de renvoi que, du point de vue de la juridiction de renvoi, la réponse à cette question suppose de déterminer si, dans le cadre du contrôle de légalité de la décision de l’autorité de contrôle qu’elle doit effectuer, cette juridiction doit tenir compte, lorsque les voies de recours prévues à l’article 77, paragraphe 1, et à l’article 79, paragraphe 1, du RGPD ont été exercées parallèlement, de la priorité éventuelle qu’aurait la première voie de recours par rapport à la
seconde en ce qui concerne le constat d’une violation des droits protégés par ce règlement.
42. En vue de répondre aux interrogations de la juridiction de renvoi, il convient de rappeler qu’il est de jurisprudence constante que, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte de son libellé ainsi que de l’économie et des objectifs de la réglementation dont elle fait partie ( 10 ).
43. Concernant le libellé des articles 77 à 79 du RGPD, j’observe qu’il ressort du paragraphe 1 de ceux-ci, d’une part, que le droit d’introduire une réclamation est « [s]ans préjudice de tout autre recours administratif ou juridictionnel » et, d’autre part, que le droit de former un recours contre la décision d’une autorité de contrôle ou contre un responsable de traitement est « [s]ans préjudice de tout autre recours administratif ou extrajudiciaire ».
44. Il ressort donc du libellé de ces dispositions que les voies de recours qu’elles prévoient peuvent être exercées de manière parallèle. Par ailleurs, aucune règle d’articulation entre ces voies de recours n’a été fixée par le législateur de l’Union dans lesdites dispositions. Il ne saurait donc, à mon avis, être déduit du RGPD l’existence d’une priorité d’une voie de recours par rapport aux autres en vue de faire constater une violation des droits protégés par ce règlement.
45. En particulier, s’il est vrai que, ainsi que cela découle plus spécifiquement de l’article 51, paragraphe 1, du RGPD, les autorités de contrôle sont chargées de surveiller l’application de ce dernier, notamment afin de protéger les droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel, aucune disposition de ce règlement n’indique que ces autorités auraient une compétence prioritaire pour constater la violation de ces droits par rapport à une
juridiction.
46. Le législateur de l’Union a ainsi souhaité mettre à la disposition des personnes concernées un système complet de voies de recours, dans lequel le droit à un recours juridictionnel et la possibilité d’exercer une voie de recours administrative ou extrajudiciaire coexistent de manière autonome, sans que l’une soit subsidiaire par rapport à l’autre. Ces personnes peuvent ainsi rechercher une protection juridique en introduisant, notamment, une réclamation auprès d’une autorité de contrôle, puis en
contestant, le cas échéant, la décision prise par cette autorité devant une juridiction, et/ou en exerçant directement un recours juridictionnel contre un responsable de traitement ou contre son sous‑traitant. Si l’autorité de contrôle et la ou les juridiction(s) saisie(s) peuvent aboutir à des appréciations juridiques différentes quant à l’existence d’une violation des règles prévues par le RGPD, force est de constater que le législateur de l’Union n’a pas mis en place les mécanismes propres à
pallier ce risque, puisqu’il n’a pas défini les modalités d’articulation des voies de recours prévues aux articles 77 à 79 de ce règlement.
47. À cet égard, il ressort de l’économie dudit règlement que, si le législateur de l’Union a souhaité prévoir des règles relatives à l’articulation, d’une part, des réclamations introduites auprès d’autorités de contrôle situées dans différents États membres et, d’autre part, des recours formés auprès de juridictions situées dans différents États membres, ce législateur n’a pas voulu prévoir de telles règles en ce qui concerne la mise en œuvre des voies de recours au sein d’un même État membre.
48. Je relève, à ce propos, que le RGPD fixe, dans son chapitre VII, intitulé « Coopération et cohérence », des mécanismes d’assistance mutuelle entre les autorités de contrôle des différents États membres et visant à assurer la cohérence des décisions prises par ces autorités. En outre, l’article 81 de ce règlement, intitulé « Suspension d’une action », prévoit, à son paragraphe 2, que, « [l]orsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même
responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action ». De plus, en vertu de l’article 81, paragraphe 3, dudit règlement, « [l]orsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à
condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction ».
49. Je note qu’une telle possibilité de suspension ou de dessaisissement n’est pas prévue lorsqu’une réclamation auprès d’une autorité de contrôle et des recours juridictionnels sont introduits au sein d’un même État membre au sujet d’un même traitement de données à caractère personnel.
50. Il résulte de ces éléments que, dans le cadre du contrôle de légalité de la décision prise par une autorité de contrôle qu’elle doit effectuer en application de l’article 78, paragraphe 1, du RGPD, une juridiction nationale n’est tenue, en vertu de ce règlement, de reconnaître ni une compétence prioritaire de cette autorité ou d’une juridiction saisie au titre de l’article 79, paragraphe 1, dudit règlement, ni une primauté de l’appréciation effectuée par cette autorité ou par cette juridiction
quant à l’existence d’une violation des droits conférés par le même règlement.
51. Une solution inverse irait, selon moi, à l’encontre du droit à un recours juridictionnel effectif dont doit bénéficier une personne qui conteste la décision adoptée par une autorité de contrôle.
52. Il ressort, en effet, du libellé de l’article 78, paragraphe 1, du RGPD que cette disposition confère à toute personne physique ou morale « le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne ». Cette disposition fait écho à l’article 58, paragraphe 4, de ce règlement, dont il découle que l’exercice des pouvoirs conférés à l’autorité de contrôle est subordonné à des garanties telles que le droit à un
recours juridictionnel effectif ( 11 ). Comme la Cour l’a déjà jugé, l’article 47 de la Charte trouve notamment son expression, dans le domaine de la protection des données à caractère personnel, dans la possibilité, prévue à l’article 78, paragraphe 1, du RGPD, pour toute personne physique ou morale de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne ( 12 ).
53. Ce droit à un recours juridictionnel effectif implique que la juridiction qui est saisie d’un recours contre la décision d’une autorité de contrôle, sur le fondement de l’article 78, paragraphe 1, du RGPD, doit, comme l’indique le considérant 143 de ce règlement, « disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies ». Cela a pour conséquence, selon moi, que cette juridiction doit pouvoir
apprécier librement la légalité de la décision soumise à son contrôle et, pour ce faire, elle ne doit pas être liée par l’appréciation qu’aurait préalablement effectuée une juridiction saisie sur le fondement de l’article 79, paragraphe 1, du RGPD quant à l’existence ou non d’une violation des règles prévues par ce règlement.
54. Dès lors, si la juridiction qui est saisie en vertu de l’article 78, paragraphe 1, du RGPD afin de contrôler la légalité d’une décision adoptée par une autorité de contrôle doit bénéficier d’une entière liberté d’appréciation en vue de constater l’existence ou non d’une violation des règles énoncées dans ce règlement, ce n’est pas, à mon avis, en raison d’une prétendue priorité dont disposeraient l’autorité de contrôle, puis, le cas échéant, cette juridiction afin d’effectuer ce constat, mais
plutôt en raison du droit à un recours juridictionnel effectif, consacré à l’article 47 de la Charte, qui implique que ladite juridiction soit en mesure de contrôler librement et en toute indépendance la légalité de la décision prise par cette autorité.
55. S’agissant des objectifs poursuivis par le RGPD, je relève que le choix fait par le législateur de l’Union de laisser aux personnes concernées la possibilité d’exercer de façon parallèle les voies de recours prévues aux articles 77 à 79 de ce règlement s’inscrit dans l’objectif dudit règlement consistant à garantir un niveau élevé de protection des droits conférés par le même règlement.
56. À cet égard, ainsi qu’il découle de l’article 1er, paragraphe 2, du RGPD, lu conjointement avec les considérants 10, 11 et 13 de ce règlement, ce dernier impose aux institutions, aux organes et aux organismes de l’Union ainsi qu’aux autorités compétentes des États membres la tâche d’assurer un niveau élevé de protection des droits garantis à l’article 16 TFUE et à l’article 8 de la Charte ( 13 ).
57. Il convient, cependant, de préciser que, comme l’illustre la présente affaire, la possibilité offerte par le RGPD d’introduire des recours parallèles au sujet d’un même traitement de données à caractère personnel peut présenter un inconvénient, à savoir l’insécurité juridique que l’apparition de décisions contradictoires au sein d’un État membre est susceptible de générer. Or, comme je l’ai indiqué précédemment, si le risque de décisions contradictoires entre les autorités de contrôle ou les
juridictions de différents États membres a été appréhendé par le législateur de l’Union dans ce règlement, tel n’est pas le cas lorsque de telles décisions sont adoptées au sein d’un même État membre.
58. Dans ces conditions, il incombe à chaque État membre de mettre en place les outils procéduraux permettant d’éviter, autant que possible, que des décisions contradictoires soient adoptées au sujet d’un même traitement de données à caractère personnel.
59. Je rappelle, à cet égard, que, en l’absence de réglementation de l’Union en la matière, il appartient, en vertu du principe de l’autonomie procédurale, à l’ordre juridique interne de chaque État membre de régler les modalités procédurales des voies de recours prévues aux articles 77 à 79 du RGPD, à condition, toutefois, que ces modalités ne soient pas, dans les situations relevant du droit de l’Union, moins favorables que dans des situations similaires soumises au droit interne (principe
d’équivalence) et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) ( 14 ).
60. Dans ce contexte et selon une jurisprudence bien établie, il incombe aux juridictions des États membres, en vertu du principe de coopération loyale énoncé à l’article 4, paragraphe 3, TUE, d’assurer la protection juridictionnelle des droits que les justiciables tirent du droit de l’Union, l’article 19, paragraphe 1, TUE imposant, par ailleurs, aux États membres d’établir les voies de recours nécessaires pour assurer une protection juridictionnelle effective dans les domaines couverts par le
droit de l’Union ( 15 ).
61. Par conséquent, lorsqu’ils définissent les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits conférés par le RGPD, les États membres doivent garantir le respect du droit à un recours effectif et à accéder à un tribunal impartial, consacré à l’article 47 de la Charte, qui constitue une réaffirmation du principe de protection juridictionnelle effective ( 16 ).
62. Les caractéristiques des recours juridictionnels prévus par ce règlement doivent ainsi être déterminées en conformité avec l’article 47 de la Charte.
63. Or, une protection juridictionnelle effective ne consiste pas seulement, à mon avis, à mettre à la disposition des personnes concernées les voies de recours nécessaires à la protection des droits qu’elles tirent du RGPD. En cas de coexistence de plusieurs voies de recours pouvant être exercées parallèlement, il convient également de garantir la sécurité juridique de la protection juridictionnelle obtenue. Dans la mesure où des décisions contradictoires quant à l’existence d’une violation des
règles prévues par ce règlement ne seraient pas de nature à assurer une protection juridictionnelle effective des personnes concernées, il importe que les États membres mettent en place les mesures nécessaires afin que de telles décisions contradictoires soient évitées.
64. Si des mécanismes procéduraux permettant d’articuler les différentes voies de recours n’étaient pas mis en place par les États membres, les objectifs visés par le RGPD, qui consistent à assurer une protection juridictionnelle effective aux personnes concernées ainsi qu’un niveau élevé et cohérent de protection des droits conférés par ce règlement, pourraient ne pas être pleinement atteints.
65. À cet égard, il ressort du considérant 10 du RGPD que celui-ci vise notamment à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union et de lever les obstacles aux flux de données à caractère personnel au sein de celle-ci ( 17 ).
66. Or, cette exigence d’une application cohérente et homogène des règles prévues par le RGPD pourrait être compromise si les divergences dans les niveaux de protection entre les États membres, que ce règlement tend à supprimer, pouvaient subsister au sein d’un même État membre. Ladite exigence doit donc être appréhendée non seulement au niveau interétatique, mais également en ce qui concerne les décisions prises dans chaque État membre.
67. Chaque État membre doit, par conséquent, faire en sorte que l’existence de voies de recours pouvant être exercées parallèlement par les personnes concernées ne remette pas en cause l’effectivité de la protection des droits que le RGPD leur confère. Il revient aux États membres de choisir quels mécanismes procéduraux leur paraissent les mieux adaptés afin de permettre l’articulation des voies de recours prévues aux articles 77 à 79 de ce règlement.
68. À titre d’illustration, les États membres pourraient prévoir que les personnes concernées soient tenues d’épuiser les voies de recours administratives avant d’introduire une procédure juridictionnelle ( 18 ).
69. Les États membres pourraient également prévoir la possibilité ou l’obligation pour une juridiction qui est saisie d’un recours en vertu de l’article 79, paragraphe 1, du RGPD, alors qu’une procédure de réclamation au titre de l’article 77, paragraphe 1, de ce règlement ou qu’un recours juridictionnel au titre de l’article 78, paragraphe 1, dudit règlement est en cours, de suspendre la procédure pendante devant elle et de surseoir à statuer jusqu’à ce qu’une décision soit prise dans l’une ou
l’autre de ces procédures.
70. Je relève que la Cour a déjà jugé que le droit d’accès à un tribunal n’est pas un droit absolu et que, ainsi, il peut comporter des restrictions proportionnées qui poursuivent un but légitime et ne portent pas atteinte à ce droit dans sa substance même ( 19 ). La suspension d’une procédure peut, à cet égard, constituer une solution afin d’éviter que ne soient adoptées des décisions contradictoires susceptibles de porter atteinte à la sécurité juridique ( 20 ).
V. Conclusion
71. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie) de la manière suivante :
1) L’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu en combinaison avec l’article 47 de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
en cas d’exercice par une personne concernée des voies de recours prévues à l’article 77, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement, la juridiction qui doit statuer sur un recours formé contre la décision d’une autorité de contrôle n’est pas liée par la décision adoptée par une juridiction saisie au titre de cette dernière disposition quant à l’existence ou non d’une violation des droits que cette personne tire dudit règlement.
2) L’article 77, paragraphe 1, et l’article 79, paragraphe 1, du règlement 2016/679
doivent être interprétés en ce sens que :
les voies de recours qu’ils prévoient peuvent être exercées parallèlement, sans que l’une bénéficie d’une priorité par rapport à l’autre en vertu de ce règlement.
3) En l’absence de réglementation de l’Union relative à l’articulation des voies de recours prévues aux articles 77 à 79 du règlement 2016/679, il incombe aux États membres, en vertu du principe de l’autonomie procédurale et eu égard tant à l’objectif de garantir un niveau de protection élevé et cohérent des droits conférés par ce règlement qu’au droit à un recours juridictionnel effectif, consacré à l’article 47 de la charte des droits fondamentaux, de mettre en place au niveau national les
mécanismes d’articulation de ces voies de recours nécessaires afin d’éviter que des décisions contradictoires au sujet d’un même traitement de données à caractère personnel puissent exister au sein d’un même État membre.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : le français.
( 2 ) JO 2016, L 119, p. 1, et rectificatif JO 2018 L 127, p. 2, ci-après le « RGPD ».
( 3 ) Ci-après la « Charte ».
( 4 ) Magyar Közlöny 2011. évi 88. száma.
( 5 ) L’autorité de contrôle a cependant indiqué lors de l’audience que, dans la mesure où BE avait obtenu le procès-verbal de la réunion, la juridiction civile a estimé qu’il n’y avait pas un seuil suffisant de violation du droit d’accès pour justifier l’octroi de dommages et intérêts.
( 6 ) Cette juridiction relève, à cet égard, que, selon les termes de l’article 9, paragraphe 1, de la directive 2014/104/UE du Parlement européen et du Conseil, du 26 novembre 2014, relative à certaines règles régissant les actions en dommages et intérêts en droit national pour les infractions aux dispositions du droit de la concurrence des États membres et de l’Union européenne (JO 2014, L 349, p. 1), les États membres doivent veiller à ce qu’une infraction au droit de la concurrence constatée par
une décision définitive de l’autorité nationale de concurrence soit considérée comme établie de manière irréfragable aux fins d’une action en dommages et intérêts.
( 7 ) C‑73/16, ci-après l’« arrêt Puškár », EU:C:2017:725.
( 8 ) Voir, notamment, arrêt du 10 février 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Délai de prescription) (C‑219/20, EU:C:2022:89, point 33 et jurisprudence citée).
( 9 ) Voir, notamment, arrêt du 10 février 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Délai de prescription) (C‑219/20, EU:C:2022:89, point 34 et jurisprudence citée).
( 10 ) Voir, notamment, arrêt du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 62).
( 11 ) Voir, également, considérant 141 dudit règlement, qui prévoit que « [t]oute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa
réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée ».
( 12 ) Voir, notamment, en ce sens, arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, point 69).
( 13 ) Voir, notamment, arrêt du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, point 45).
( 14 ) Voir, notamment, arrêt du 2 juin 2022, Skeyes (C‑353/20, EU:C:2022:423, point 52 et jurisprudence citée).
( 15 ) Voir, notamment, arrêt Puškár (point 57 et jurisprudence citée).
( 16 ) Voir, par analogie, arrêt Puškár (point 59 et jurisprudence citée).
( 17 ) Voir, notamment, arrêts du 15 juin 2021, Facebook Ireland e.a. (C‑645/19, EU:C:2021:483, point 64) ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 83), et du 28 avril 2022, Meta Platforms Ireland (C‑319/20, EU:C:2022:322, point 52). L’exigence de cohérence dans le niveau de protection des droits conférés par le RGPD est exprimée dans d’autres considérants de ce règlement, tels que les considérants 7, 9, 13, 123, 129, 133 et 135. Voir,
également, sur le lien entre un niveau élevé et un niveau cohérent de protection des droits conférés par le RGPD, conclusions de l’avocat général Bobek dans l’affaire Facebook Ireland e.a. (C‑645/19, EU:C:2021:5, points 95 à 97).
( 18 ) Voir arrêt Puškár, dans lequel la Cour a jugé que « l’obligation d’épuiser les voies de recours administratives disponibles vise à décharger les tribunaux de litiges qui peuvent être tranchés directement devant l’autorité administrative concernée ainsi qu’à accroître l’efficacité des procédures juridictionnelles en ce qui concerne les litiges dans lesquels un recours juridictionnel est formé malgré le fait qu’une réclamation a déjà été introduite. Ladite obligation poursuit, par conséquent,
des objectifs d’intérêt général légitimes » (point 67).
( 19 ) Voir, à cet égard, en matière de taxe sur la valeur ajoutée (TVA), arrêt du 24 février 2022, SC Cridar Cons (C‑582/20, EU:C:2022:114, point 50 et jurisprudence citée).
( 20 ) Voir, à cet égard, en matière de TVA, arrêt du 24 février 2022, SC Cridar Cons (C‑582/20, EU:C:2022:114, point 38).
