| CJUE, Arrêt de la Cour, Digi Távközlési és Szolgáltató Kft. contre Nemzeti Adatvédelmi és Információszabadság Hatóság., 20/10/2022, C-77/21

ARRÊT DE LA COUR (première chambre)

20 octobre 2022 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous b) et e) – Principe de la “limitation des finalités” – Principe de la “limitation de la conservation” – Création, à partir d’une base de données existante, d’une base de données pour effectuer des tests et corriger des erreurs – Traitement ultérieur des données – Compatibilité du traitement ultérieur de ces données avec les
finalités de la collecte initiale – Durée de conservation au regard de ces finalités »

Dans l’affaire C‑77/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), par décision du 21 janvier 2021, parvenue à la Cour le 8 février 2021, dans la procédure

Digi Távközlési és Szolgáltató Kft.

contre

Nemzeti Adatvédelmi és Információszabadság Hatóság,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice–président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et M^me I. Ziemele (rapporteure), juges,

avocat général : M. P. Pikamäe,

greffier : M. I. Illéssy, administrateur,

vu la procédure écrite et à la suite de l’audience du 17 janvier 2022,

considérant les observations présentées :

–        pour Digi Távközlési és Szolgáltató Kft., par M^es R. Hatala et A. D. László, ügyvédek,

–        pour la Nemzeti Adatvédelmi és Információszabadság Hatóság, par M. G. Barabás, conseiller juridique, assisté de M^es G. J. Dudás et Á. Hargita, ügyvédek

–        pour le gouvernement hongrois, par M^me Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,

–        pour le gouvernement tchèque, par M^me T. Machovičová, MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement portugais, par M^me P. Barros da Costa, M. L. Inez Fernandes, I. Oliveira, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

–        pour la Commission européenne, par MM. V. Bottka et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 31 mars 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 5, paragraphe 1, sous b) et e), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2).

2        Cette demande a été présentée dans le cadre d’un litige opposant Digi Távközlési és Szolgáltató Kft. (ci-après « Digi »), l’un des principaux fournisseurs de services Internet et de télévision en Hongrie, à la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorité nationale de la protection des données et de la liberté de l’information, Hongrie) (ci-après l’« Autorité ») au sujet d’une violation de données à caractère personnel contenues dans une base de données de Digi.

 Le cadre juridique

3        Les considérants 10 et 50 du règlement 2016/679 énoncent :

« (10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à
l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(50)      Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. [...] Afin d’établir si les finalités d’un
traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu ; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes
concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données ; la nature des données à caractère personnel ; les conséquences pour les personnes concernées du traitement ultérieur prévu ; et l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

[...] »

4        L’article 4 du règlement 2016/679, intitulé « Définitions », dispose :

« Aux fins du présent règlement, on entend par :

[...]

2)      “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;

[...] »

5        Aux termes de l’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel » :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)      collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c)      adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d)      exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e)      conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89,
paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;

f)      traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui- ci est respecté (responsabilité). »

6        L’article 6 dudit règlement, intitulé « Licéité du traitement », prévoit :

« 1.      Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)      le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)      le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d)      le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e)      le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f)      le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

[...]

4.      Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données
à caractère personnel ont été initialement collectées, tient compte, entre autres :

a)      de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b)      du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c)      de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d)      des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e)      de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

 Le litige au principal et les questions préjudicielles

7        Digi est l’un des principaux fournisseurs de services Internet et de télévision en Hongrie.

8        Au mois d’avril 2018, à la suite d’une défaillance technique ayant affecté le fonctionnement d’un serveur, Digi a créé une base de données dite « de test » (ci-après la « base de données de test »), dans laquelle elle a copié les données à caractère personnel d’environ un tiers de ses clients particuliers, lesquelles étaient conservées dans une autre base de données, appelée « digihu », susceptible d’être reliée au site www.digi.hu, comportant les données tenues à jour des personnes qui se
sont inscrites en vue de recevoir la lettre d’information de Digi, à des fins de marketing direct, ainsi que les données d’administrateur système donnant accès à l’interface du site.

9        Le 23 septembre 2019, Digi a eu connaissance du fait qu’un « pirate éthique » avait eu accès aux données personnelles détenues par cette dernière concernant environ 322 000 personnes. Cet accès a été signalé à Digi par ce « pirate éthique » lui-même, qui lui a communiqué, à titre de preuve, une ligne de la base de données de test. Digi a corrigé la faille ayant permis cet accès et a conclu un accord de confidentialité avec cette personne, à laquelle elle a offert une récompense.

10      Après avoir supprimé la base de données de test, Digi a notifié la violation de données à caractère personnel à l’Autorité le 25 septembre 2019, qui a par la suite ouvert une enquête.

11      Par une décision du 18 mai 2020, l’Autorité a notamment conclu que Digi avait enfreint l’article 5, paragraphe 1, sous b) et e), du règlement 2016/679, en ce que, après avoir effectué les tests nécessaires et corrigé la faille, elle n’avait pas immédiatement supprimé la base de données de test, de sorte qu’un grand nombre de données à caractère personnel avait été conservé dans cette base de données sans aucune finalité pendant près de 18 mois, dans un fichier susceptible de permettre
l’identification des personnes concernées. Par conséquent, l’Autorité a imposé à Digi d’examiner l’ensemble de ses bases de données et lui a infligé une amende d’un montant de 100 000 000 forints hongrois (HUF) (environ 248 000 euros).

12      Digi a contesté la légalité de cette décision devant la juridiction de renvoi.

13      Cette dernière relève que les données à caractère personnel copiées par Digi dans la base de données de test ont été collectées aux fins de la conclusion et de l’exécution des contrats d’abonnement et que la licéité de la collecte initiale des données à caractère personnel n’a pas été remise en cause par l’Autorité. Elle se demande toutefois si la copie, dans une autre base de données, des données initialement collectées a eu pour conséquence de modifier la finalité de la collecte initiale
et du traitement de celles-ci. Elle ajoute qu’il lui faut également déterminer si la création d’une base de données de test et la poursuite, dans cette autre base, du traitement des données des clients sont compatibles avec les finalités de la collecte initiale. Elle considère que le principe de la « limitation des finalités », tel qu’énoncé à l’article 5, paragraphe 1, sous b), du règlement 2016/679, ne lui permet pas de déterminer les systèmes internes dans lesquels le responsable du traitement a
le droit de traiter les données collectées de manière licite ni de savoir si ce dernier peut copier ces données dans une base de données de test sans modifier la finalité de la collecte initiale de données.

14      Dans l’hypothèse où la création de la base de données de test serait incompatible avec la finalité de la collecte initiale, la juridiction de renvoi se demande également si, dès lors que la finalité du traitement des données des abonnés dans une autre base de données est non pas la correction d’erreurs mais la conclusion des contrats, la durée de la conservation nécessaire doit, en vertu du principe de la « limitation de la conservation » figurant à l’article 5, paragraphe 1, sous e), du
règlement 2016/679, correspondre à la durée nécessaire à la correction des erreurs ou à celle nécessaire à l’exécution des obligations contractuelles.

15      Dans ces conditions, la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      Faut-il interpréter la notion de “limitation des finalités”, définie à l’article 5, paragraphe 1, sous b), du règlement 2016/679 [...] en ce sens qu’est également conforme à cette notion le fait pour le responsable du traitement de conserver en parallèle, dans une autre base de données, des données à caractère personnel qui ont, par ailleurs, été collectées pour des finalités déterminées et légitimes et conservées d’une manière compatible avec ces finalités, ou au contraire en ce sens que
le fait de conserver les données dans une base de données parallèle n’est plus compatible avec les finalités légitimes pour lesquelles les données en question ont été collectées ?

2)      S’il convient de répondre à la première question en ce sens que, en principe, la conservation parallèle n’est pas compatible avec le principe de la “limitation des finalités”, cette conservation est-elle alors compatible avec le principe de la “limitation de la conservation” énoncé à l’article 5, paragraphe 1, sous e), du règlement 2016/679 lorsque le responsable du traitement conserve en parallèle dans une autre base de données des données à caractère personnel par ailleurs collectées et
conservées pour une finalité légitime limitée ? »

 Sur les questions préjudicielles

 Sur la recevabilité

16      L’Autorité ainsi que le gouvernement hongrois ont exprimé des doutes sur la recevabilité des questions préjudicielles, au motif que ces questions ne correspondraient pas aux faits du litige au principal et ne seraient pas directement pertinentes pour la solution de celui-ci.

17      À cet égard, en premier lieu, il convient de rappeler qu’il résulte d’une jurisprudence constante de la Cour qu’il appartient au seul juge national, qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir, d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les
questions posées portent sur l’interprétation ou la validité d’une règle du droit de l’Union, la Cour est, en principe, tenue de statuer. Il s’ensuit que les questions posées par les juridictions nationales bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît que l’interprétation sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, si le problème est
de nature hypothétique ou encore si la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile auxdites questions (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 73 ainsi que jurisprudence citée).

18      En l’occurrence, la juridiction de renvoi est saisie d’un recours tendant à l’annulation d’une décision sanctionnant Digi, en sa qualité de responsable du traitement, pour avoir méconnu le principe de la « limitation des finalités » et le principe de la « limitation de la conservation », prévus, respectivement, aux points b) et e) de l’article 5, paragraphe 1, du règlement 2016/679, en ayant omis de supprimer une base de données comportant des données à caractère personnel permettant
l’identification des personnes concernées. Or, les questions préjudicielles portent précisément sur l’interprétation de ces dispositions, de sorte qu’il ne saurait être considéré que l’interprétation sollicitée du droit de l’Union n’a pas de rapport avec la réalité ou l’objet du litige au principal ou serait de nature hypothétique. En outre, la décision de renvoi contient les éléments de fait et de droit suffisants pour répondre de façon utile aux questions posées par la juridiction de renvoi.

19      En second lieu, il importe de rappeler que, dans le cadre de la procédure visée à l’article 267 TFUE, fondée sur une nette séparation des fonctions entre les juridictions nationales et la Cour, le juge national est seul compétent pour interpréter et appliquer des dispositions de droit national, tandis que la Cour est uniquement habilitée à se prononcer sur l’interprétation ou la validité d’un texte de l’Union, à partir des faits qui lui sont indiqués par la juridiction nationale (arrêt du
5 mai 2022, Zagrebačka banka, C‑567/20, EU:C:2022:352, point 45 et jurisprudence citée).

20      Partant, il convient d’écarter l’argumentation relative à l’irrecevabilité des questions préjudicielles que l’Autorité et le gouvernement hongrois tirent, en substance, de ce que les questions préjudicielles ne correspondraient pas, selon eux, aux faits du litige au principal.

21      Il s’ensuit que les questions préjudicielles sont recevables.

 Sur le fond

 Sur la première question

22      Par sa première question, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous b), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation des finalités », prévu à cette disposition, s’oppose à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées
dans une autre base de données.

23      Conformément à une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement des termes de celle-ci, mais également du contexte dans lequel elle s’inscrit et des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 1^er août 2022, HOLD Alapkezelő, C‑352/20, EU:C:2022:606, point 42 et jurisprudence citée).

24      À cet égard, en premier lieu, il convient de relever que l’article 5, paragraphe 1, du règlement 2016/679 fixe les principes relatifs au traitement des données à caractère personnel, qui s’imposent au responsable du traitement et dont ce dernier doit être en mesure de démontrer le respect, conformément au principe de responsabilité énoncé au paragraphe 2 de cet article.

25      En particulier, aux termes de l’article 5, paragraphe 1, sous b), de ce règlement, qui énonce le principe de la « limitation des finalités », les données à caractère personnel doivent, d’une part, être collectées pour des finalités déterminées, explicites et légitimes et, d’autre part, ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.

26      Il ressort ainsi du libellé de cette disposition que celle-ci comporte deux exigences, l’une relative aux finalités de la collecte initiale des données à caractère personnel et l’autre portant sur le traitement ultérieur de ces données.

27      S’agissant, premièrement, de l’exigence selon laquelle les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, il résulte de la jurisprudence de la Cour que celle-ci implique, tout d’abord, que les finalités du traitement soient identifiées au plus tard lors de la collecte des données à caractère personnel, ensuite, que les finalités de ce traitement soient énoncées clairement et, enfin, que les finalités dudit traitement
garantissent, notamment, la licéité du traitement de ces données, au sens de l’article 6, paragraphe 1, du règlement 2016/679 [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, points 64 à 66].

28      En l’occurrence, il ressort du libellé de la première question et des motifs de la décision de renvoi que les données à caractère personnel en cause au principal ont été collectées pour des finalités déterminées, explicites et légitimes, la juridiction de renvoi précisant par ailleurs que la collecte de ces données a été réalisée aux fins de la conclusion et de l’exécution par Digi de contrats d’abonnement avec ses clients, conformément à l’article 6, paragraphe 1, sous b), du règlement
2016/679.

29      En ce qui concerne, deuxièmement, l’exigence selon laquelle les données à caractère personnel ne doivent pas faire l’objet d’un traitement ultérieur qui soit incompatible avec ces finalités, il y a lieu de relever, d’une part, que l’enregistrement et la conservation, par le responsable du traitement, dans une base de données nouvellement créée, de données à caractère personnel conservées dans une autre base de données constitue un « traitement ultérieur » de ces données.

30      En effet, la notion de « traitement » est définie de manière large à l’article 4, point 2, du règlement 2016/679 comme visant toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou à des ensembles de données à caractère personnel, telles que, notamment, la collecte, l’enregistrement et la conservation de ces données.

31      En outre, conformément au sens habituel du terme « ultérieur » dans le langage courant, tout traitement de données à caractère personnel qui est postérieur au traitement initial constitué par la collecte initiale de ces données constitue un traitement « ultérieur » desdites données, indépendamment de la finalité de ce traitement ultérieur.

32      D’autre part, il y a lieu de relever que l’article 5, paragraphe 1, sous b), du règlement 2016/679 ne comporte pas d’indications sur les conditions dans lesquelles un traitement ultérieur de données à caractère personnel peut être considéré comme étant compatible avec les finalités de la collecte initiale de ces données.

33      Le contexte dans lequel s’inscrit cette disposition fournit toutefois, en deuxième lieu, des précisions utiles à cet égard.

34      Il ressort en effet d’une lecture conjointe de l’article 5, paragraphe 1, sous b), de l’article 6, paragraphe 1, sous a), et de l’article 6, paragraphe 4, du règlement 2016/679 que la question de la compatibilité du traitement ultérieur des données à caractère personnel avec les finalités pour lesquelles ces données ont été initialement collectées ne se pose que dans l’hypothèse où les finalités dudit traitement ultérieur ne seraient pas identiques aux finalités de la collecte initiale.

35      En outre, il résulte de cet article 6, paragraphe 4, lu à la lumière du considérant 50 dudit règlement, que, lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre, il y a lieu, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement
collectées, de tenir compte, entre autres, premièrement, de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ; deuxièmement, du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ; troisièmement, de la nature des données à caractère personnel ;
quatrièmement, des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées, et enfin, cinquièmement, de l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

36      Ainsi que M. l’avocat général l’a relevé, en substance, aux points 28, 59 et 60 de ses conclusions, ces critères traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données, et permettent de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des abonnés quant à l’utilisation ultérieure de leurs données.

37      Ces critères permettent, du reste, en troisième lieu, ainsi que M. l’avocat général l’a souligné, en substance, au point 27 de ses conclusions, d’encadrer la réutilisation de données à caractère personnel précédemment collectées en assurant un équilibre entre, d’une part, le besoin de prévisibilité et de sécurité juridique concernant les finalités du traitement de données à caractère personnel précédemment collectées et, d’autre part, la reconnaissance d’une certaine flexibilité au profit du
responsable du traitement dans la gestion de ces données, et contribuent ainsi à la réalisation de l’objectif consistant à assurer un niveau cohérent et élevé de protection des personnes physiques, qui est énoncé au considérant 10 du règlement 2016/679.

38      Ainsi, en tenant compte des critères mentionnés au point 35 du présent arrêt et eu égard à l’ensemble des circonstances caractérisant le cas d’espèce, il incombe à la juridiction nationale de déterminer tant les finalités de la collecte initiale des données à caractère personnel que celles du traitement ultérieur de ces données et, dans l’hypothèse où les finalités de ce traitement ultérieur différeraient des finalités de cette collecte, de vérifier que le traitement ultérieur desdites
données est compatible avec les finalités de ladite collecte initiale.

39      Cela étant, il est loisible à la Cour, statuant sur renvoi préjudiciel, d’apporter des précisions visant à guider la juridiction nationale dans cette détermination (voir, en ce sens, arrêt du 7 avril 2022, Fuhrmann-2, C‑249/21, EU:C:2022:269, point 32).

40      En l’occurrence, premièrement, ainsi qu’il a été rappelé au point 13 du présent arrêt, il ressort de la décision de renvoi que les données à caractère personnel ont été collectées initialement par Digi, responsable du traitement, aux fins de la conclusion et de l’exécution de contrats d’abonnement avec ses clients particuliers.

41      Deuxièmement, les parties au principal ne s’accordent pas sur la finalité spécifique de l’enregistrement et de la conservation par Digi, dans la base de données de test, des données à caractère personnel en cause. En effet, tandis que Digi fait valoir que la création de la base de données de test avait pour finalité spécifique de garantir l’accès aux données des abonnés jusqu’à ce que les erreurs soient corrigées, de sorte que cette finalité serait identique aux finalités poursuivies par la
collecte initiale de ces données, l’Autorité soutient que la finalité spécifique du traitement ultérieur était distincte de ces finalités, puisqu’elle aurait consisté en la réalisation de tests et en la correction d’erreurs.

42      À cet égard, il y a lieu de rappeler qu’il ressort de la jurisprudence citée au point 19 du présent arrêt que, dans le cadre de la procédure visée à l’article 267 TFUE, fondée sur une nette séparation des fonctions entre les juridictions nationales et la Cour, le juge national est seul compétent pour interpréter et appliquer des dispositions de droit national, tandis que la Cour est uniquement habilitée à se prononcer sur l’interprétation ou la validité d’un texte de l’Union, à partir des
faits qui lui sont indiqués par la juridiction nationale.

43      Or, il ressort de la décision de renvoi que la base de données de test a été créée par Digi pour pouvoir procéder à des tests et corriger des erreurs, de sorte que c’est au regard de ces finalités qu’il incombe à la juridiction de renvoi d’apprécier la compatibilité du traitement ultérieur avec les finalités de la collecte initiale, consistant en la conclusion et en l’exécution de contrats d’abonnement.

44      Troisièmement, s’agissant de cette appréciation, il y a lieu de relever que la réalisation de tests et la correction d’erreurs qui affectent la base de données des abonnés présentent un lien concret avec l’exécution des contrats d’abonnement des clients particuliers, en ce que de telles erreurs sont susceptibles d’être dommageables pour la fourniture du service contractuellement prévu, et pour laquelle les données ont été initialement collectées. En effet, ainsi que M. l’avocat général l’a
relevé au point 60 de ses conclusions, un tel traitement ne s’écarte pas des attentes légitimes de ces clients quant à l’utilisation ultérieure de leurs données à caractère personnel. Il ne ressort, du reste, pas de la décision de renvoi que tout ou partie de ces données auraient été sensibles ou que le traitement ultérieur en cause de celles-ci, en tant que tel, aurait eu des conséquences dommageables pour les abonnés ou n’aurait pas été accompagné de garanties appropriées, ce qu’il appartient, en
tout état de cause, à la juridiction de renvoi de vérifier.

45      Il résulte de l’ensemble des considérations qui précèdent qu’il y a lieu de répondre à la première question que l’article 5, paragraphe 1, sous b), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation des finalités », prévu à cette disposition, ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel
préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été initialement collectées, ce qu’il convient de déterminer au regard des critères visés à l’article 6, paragraphe 4, de ce règlement.

 Sur la seconde question

46      À titre liminaire, il y a lieu de relever que la seconde question de la juridiction de renvoi, qui porte sur la conformité au principe de la « limitation de la conservation », figurant à l’article 5, paragraphe 1, sous e), du règlement 2016/679, de la conservation par Digi, dans la base de données de test, de données à caractère personnel de ses clients, n’est posée par cette juridiction qu’en cas de réponse affirmative à la première question telle que reformulée, à savoir dans l’hypothèse
où cette conservation ne serait pas compatible avec le principe de la « limitation des finalités », prévu à l’article 5, paragraphe 1, sous b), de ce règlement.

47      Toutefois, d’une part, ainsi que l’a relevé M. l’avocat général au point 24 de ses conclusions, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 du règlement 2016/679 sont applicables de façon cumulative. Partant, la conservation de données à caractère personnel doit respecter non seulement le principe de la « limitation des finalités », mais également celui de la « limitation de la conservation ».

48      D’autre part, il convient de rappeler que, ainsi qu’il ressort du considérant 10 du règlement 2016/679, celui-ci vise notamment à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union.

49      À cette fin, les chapitres II et III de ce règlement énoncent, respectivement, les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée que doit respecter tout traitement de données à caractère personnel. En particulier, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données fixés à l’article 5 dudit règlement et, d’autre part, eu égard en particulier au
principe de la licéité du traitement, prévu au paragraphe 1, sous a), de cet article, répondre à l’une des conditions de licéité du traitement énumérées à l’article 6 du même règlement [voir, en ce sens, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, et du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 50].

50      Eu égard à ces considérations, même si, sur le plan formel, la juridiction de renvoi n’a posé la seconde question qu’en cas de réponse affirmative à la première question telle que reformulée, une telle circonstance ne fait pas obstacle à ce que la Cour lui fournisse tous les éléments d’interprétation du droit de l’Union qui peuvent être utiles à l’appréciation de l’affaire dont elle est saisie (voir, en ce sens, arrêt du 17 mars 2022, Daimler, C‑232/20, EU:C:2022:196, point 49) et, partant,
réponde à cette seconde question.

51      Dans ces conditions, il y a lieu de considérer que, par cette question, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 1, sous e), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement
collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.

52      En premier lieu, il convient de relever que, aux termes de l’article 5, paragraphe 1, sous e), du règlement 2016/679, les données à caractère personnel doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées.

53      Il ressort ainsi sans ambiguïté du libellé de cet article que le principe de la « limitation de la conservation » requiert que le responsable du traitement soit en mesure de démontrer, conformément au principe de responsabilité rappelé au point 24 du présent arrêt, que les données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement traitées.

54      Il en résulte que même un traitement initialement licite de données peut devenir, avec le temps, incompatible avec le règlement 2016/679 lorsque ces données ne sont plus nécessaires à la réalisation de telles finalités [arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 74] et que les données doivent être supprimées lorsque lesdites finalités sont réalisées (voir, en ce sens, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293,
point 33).

55      Cette interprétation est conforme, en deuxième lieu, au contexte dans lequel s’inscrit l’article 5, paragraphe 1, sous e), du règlement 2016/679.

56      À cet égard, il a été rappelé au point 49 du présent arrêt que tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5 dudit règlement et répondre à l’une des conditions relatives à la licéité du traitement énumérées à l’article 6 du même règlement.

57      Or, d’une part, ainsi qu’il ressort de cet article 6, lorsque la personne concernée n’a pas consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, conformément à l’article 6, paragraphe 1, sous a), du règlement 2016/679, le traitement doit, ainsi qu’il ressort des points b) à f) dudit paragraphe, répondre à une exigence de nécessité.

58      D’autre part, une telle exigence de nécessité résulte également du principe de la « minimisation des données », prévu à l’article 5, paragraphe 1, sous c), de ce règlement, aux termes duquel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

59      Une telle interprétation est, en troisième lieu, conforme à l’objectif poursuivi par l’article 5, paragraphe 1, sous e), du règlement 2016/679, lequel, ainsi qu’il a été rappelé au point 48 du présent arrêt, consiste notamment à assurer un niveau élevé de protection des personnes physiques au sein de l’Union à l’égard du traitement des données à caractère personnel.

60      En l’occurrence, Digi a fait valoir que c’est par inadvertance que les données à caractère personnel d’une partie de ses clients particuliers conservées dans la base de données de test n’ont pas été effacées, après la réalisation des tests et la correction des erreurs.

61      À cet égard, il suffit de relever que cet argument est dénué de pertinence aux fins d’apprécier si des données ont été conservées pour une durée excédant celle qui était nécessaire à la réalisation des finalités pour lesquelles elles ont été ultérieurement traitées, en méconnaissance du principe de la « limitation de la conservation », prévu à l’article 5, paragraphe 1, sous e), du règlement 2016/679.

62      Il résulte de l’ensemble des considérations qui précèdent qu’il y a lieu de répondre à la seconde question que l’article 5, paragraphe 1, sous e), du règlement 2016/679 doit être interprété en ce sens que le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées
pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.

 Sur les dépens

63      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

1)      L’article 5, paragraphe 1, sous b), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le principe de la « limitation des finalités », prévu à cette disposition, ne s’oppose pas à l’enregistrement et à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées et conservées dans une autre base de données, lorsqu’un tel traitement ultérieur est compatible avec les finalités spécifiques pour lesquelles les données à caractère personnel ont été
initialement collectées, ce qu’il convient de déterminer au regard des critères visés à l’article 6, paragraphe 4, de ce règlement.

2)      L’article 5, paragraphe 1, sous e), du règlement 2016/679

doit être interprété en ce sens que :

le principe de la « limitation de la conservation », prévu à cette disposition, s’oppose à la conservation par le responsable du traitement, dans une base de données créée aux fins de procéder à des tests et de corriger des erreurs, de données à caractère personnel préalablement collectées pour d’autres finalités, pour une durée excédant celle qui est nécessaire à la réalisation de ces tests et à la correction de ces erreurs.

Signatures

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

*      Langue de procédure : le hongrois.