ARRÊT DE LA COUR (cinquième chambre)
8 décembre 2022 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 2, 4 et 6 – Applicabilité du règlement 2016/679 – Notion d’“intérêt légitime” – Notion de “mission d’intérêt public ou relevant de l’exercice de l’autorité publique”– Directive (UE) 2016/680 – Articles 1er, 3, 4, 6 et 9 – Licéité du traitement de données à caractère personnel collectées dans le cadre d’une enquête pénale – Traitement ultérieur de
données relatives à la victime présumée d’une infraction pénale aux fins de sa mise en accusation – Notion de “finalité autre que celles pour lesquelles les données ont été collectées” – Données utilisées par le parquet d’un État membre aux fins de sa défense dans le cadre d’un recours en responsabilité de l’État »
Dans l’affaire C‑180/21,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Administrativen sad – Blagoevgrad (tribunal administratif de Blagoevgrad, Bulgarie), par décision du 19 mars 2021, parvenue à la Cour le 23 mars 2021, dans la procédure
VS
contre
Inspektor v Inspektorata kam Visshia sadeben savet,
en présence de :
Teritorialno otdelenie – Petrich kam Rayonna prokuratura – Blagoevgrad,
LA COUR (cinquième chambre),
composée de M. E. Regan, président de chambre, MM. D. Gratsias (rapporteur), M. Ilešič, I. Jarukaitis, et Z. Csehi, juges,
avocat général : M. M. Campos Sánchez-Bordona,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour VS, par Mme V. Harizanova,
– pour l’Inspektor v Inspektorata kam Visshia sadeben savet, par Mme S. Mulyachka,
– pour le gouvernement bulgare, par Mmes M. Georgieva et T. Mitova, en qualité d’agents,
– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement néerlandais, par Mme M. K. Bulterman et M. J. M. Hoogveld, en qualité d’agents,
– pour la Commission européenne, par MM. H. Kranenborg et I. Zaloguin, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 19 mai 2022,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 1er, paragraphe 1, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces
données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89), ainsi que du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), en particulier de son article 6,
paragraphe 1.
2 Cette demande a été présentée dans le cadre d’un litige opposant VS à l’Inspektor v Inspektorata kam Visshia sadeben savet (inspecteur de l’inspectorat du Conseil supérieur de la magistrature, Bulgarie) (ci-après l’« IVSS ») au sujet de la légalité du traitement de données à caractère personnel le concernant, effectué par le parquet d’arrondissement de Petrich (Bulgarie).
Le cadre juridique
Le droit de l’Union
Le RGPD
3 Les considérants 19, 45 et 47 du RGPD énoncent :
« (19) [...] Les États membres peuvent confier à des autorités compétentes au sens de la directive [2016/680] des missions qui ne sont pas nécessairement effectuées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de manière à ce que le traitement de données à caractère personnel à ces autres fins,
pour autant qu’il relève du champ d’application du droit de l’Union, relève du champ d’application du présent règlement.
[...]
[...]
(45) Lorsque le traitement est [...] nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du
traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. [...]
[...]
(47) Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. [...] Étant donné qu’il
appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. [...] »
4 L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose, à ses paragraphes 1 et 2 :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
[...]
d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »
5 L’article 4 du RGPD, intitulé « Définitions », dispose :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;
[...] »
6 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à son paragraphe 1 :
« Les données à caractère personnel doivent être :
[...]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités [...] (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
[...] »
7 Aux termes de l’article 6 du RGPD, intitulé « Licéité du traitement » :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[...]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel [...]
Le point f du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
[...]
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. [...] »
8 L’article 21 du RGPD, intitulé « Droit d’opposition », prévoit, à son paragraphe 1 :
« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f) [...]. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour
la constatation, l’exercice ou la défense de droits en justice. »
9 L’article 23 du RGPD, intitulé « Limitations », énonce, à son paragraphe 1, que le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 , lorsqu’une telle limitation respecte l’essence des libertés et des droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour
garantir, notamment, certains objectifs importants d’intérêt public général de l’Union ou d’un État membre.
La directive 2016/680
10 Les considérants 8 à 12, 27 et 29 de la directive 2016/680 énoncent :
« (8) L’article 16, paragraphe 2, [TFUE] donne mandat au Parlement européen et au Conseil [de l’Union européenne] pour fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et les règles relatives à la libre circulation de ces données.
(9) Sur cette base, le [RGPD] définit des règles générales visant à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à garantir la libre circulation de ces données dans l’Union.
(10) Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière
pénale et de la coopération policière se basant sur l’article 16 [TFUE] pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.
(11) Il convient dès lors que ces domaines soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, en
respectant la nature spécifique de ces activités. Les autorités compétentes en question peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d’autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de la présente directive. Lorsqu’un tel organisme ou une telle entité traite des données à caractère
personnel à des fins autres que celles prévues dans la présente directive, le [RGPD] s’applique. Par conséquent, le [RGPD] s’applique lorsqu’un organisme ou une entité recueille des données à caractère personnel à d’autres fins et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. [...]
(12) Les activités menées par la police ou d’autres autorités répressives sont axées principalement sur la prévention et la détection des infractions pénales et les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non. [...] Les États membres peuvent confier aux autorités compétentes d’autres missions qui ne sont pas nécessairement menées à des fins de prévention et de détection des
infractions pénales, d’enquêtes ou de poursuites en la matière, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, de sorte que le traitement de données à caractère personnel à ces autres fins, pour autant qu’il relève du champ d’application du droit de l’Union, relève du champ d’application du [RGPD].
[...]
(27) Aux fins de la prévention des infractions pénales, et des enquêtes et poursuites en la matière, les autorités compétentes ont besoin de traiter des données à caractère personnel, collectées dans le cadre de la prévention et de la détection d’infractions pénales spécifiques, et des enquêtes et poursuites en la matière au-delà de ce cadre, pour acquérir une meilleure compréhension des activités criminelles et établir des liens entre les différentes infractions pénales mises au jour.
[...]
(29) Les données à caractère personnel devraient être collectées pour des finalités déterminées, explicites et légitimes relevant du champ d’application de la présente directive et elles ne devraient pas être traitées à des fins incompatibles avec les finalités de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales, y compris de protection contre les menaces pour la sécurité publique et de prévention de telles menaces.
Si des données à caractère personnel sont traitées par le même responsable du traitement ou un autre pour une finalité relevant du champ d’application de la présente directive autre que celle pour laquelle elles ont été collectées, un tel traitement devrait être permis à condition qu’il soit autorisé conformément aux dispositions légales applicables et qu’il soit nécessaire et proportionné au regard de cette autre finalité. »
11 L’article 1er de cette directive, intitulé « Objet et objectifs », dispose, à son paragraphe 1 :
« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »
12 Les définitions des termes « données à caractère personnel » et « traitement », figurant, respectivement, aux paragraphes 1 et 2 de l’article 3 de ladite directive, intitulé « Définitions », reprennent celles énoncées aux points 1 et 2 de l’article 4 du RGPD.
13 Aux termes de l’article 3, paragraphe 7, sous a), et paragraphe 8, de la directive 2016/680 :
« Aux fins de la présente directive, on entend par :
[...]
7. “autorité compétente” :
a) toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; [...]
[...]
8. “responsable du traitement”, l’autorité compétente qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre ».
14 L’article 4 de la directive 2016/680, intitulé « Principes relatifs au traitement des données à caractère personnel », énonce, à son paragraphe 1 :
« Les États membres prévoient que les données à caractère personnel sont :
[...]
b) collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées d’une manière incompatible avec ces finalités ;
c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées ;
[...] »
15 L’article 4, paragraphe 2, de la directive 2016/680 dispose :
« Le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que :
a) le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre ; et
b) le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union ou au droit d’un État membre. »
16 Aux termes de l’article 6 de la directive 2016/680, intitulé « Distinction entre différentes catégories de personnes concernées » :
« Les États membres prévoient que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :
a) les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;
b) les personnes reconnues coupables d’une infraction pénale ;
c) les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ; [...]
[...] »
17 L’article 9 de la directive 2016/680, intitulé « Conditions spécifiques applicables au traitement », dispose, à ses paragraphes 1 et 2 :
« 1. Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le [RGPD] s’applique, à moins que le traitement ne soit effectué dans le cadre d’une
activité ne relevant pas du champ d’application du droit de l’Union.
2. Lorsque les autorités compétentes sont chargées par le droit d’un État membre d’exécuter des missions autres que celles exécutées pour les finalités énoncées à l’article 1er, paragraphe 1, le [RGPD] s’applique au traitement effectué à de telles fins […], à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union. »
Le droit bulgare
La Constitution de la République de Bulgarie
18 L’article 127 de la Constitution de la République de Bulgarie dispose :
« Le parquet veille au respect des lois, comme suit :
1. Il dirige l’enquête et contrôle la légalité du déroulement de celle‑ci ;
2. Il peut mener une enquête ;
3. Il impute la responsabilité des infractions aux personnes qui les ont commises et soutient l’accusation dans les affaires pénales relevant de l’action publique ;
[...] »
Le ZZLD
19 Conformément à son article 1er, le Zakon za zashtita na lichnite danni (loi relative à la protection des données à caractère personnel) (DV no 1, du 4 janvier 2002, ci-après le « ZZLD ») vise à assurer la protection des personnes physiques à l’égard du traitement des données à caractère personnel régi par le RGPD ainsi qu’à l’égard du traitement de ces données effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la
matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité et l’ordre publics et la prévention de telles menaces.
20 Conformément à l’article 17, paragraphe 1, du ZZLD, l’IVSS assure le contrôle et le respect du RGPD, du ZZLD et des actes en matière de protection des données à caractère personnel à l’égard du traitement de ces données par, notamment, le parquet et les autorités d’enquête dans l’exercice de leurs fonctions judiciaires, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. L’article 38 ter du ZZLD octroie à
la personne concernée, en cas de violation de ses droits, notamment par ces autorités, le droit d’introduire un recours auprès de l’IVSS.
21 L’article 42, paragraphes 2 et 3, l’article 45, paragraphe 2, et l’article 47 du ZZLD mettent en œuvre les dispositions, respectivement, de l’article 9, paragraphes 1 et 2, de l’article 4, paragraphe 2, et de l’article 6 de la directive 2016/680.
Le code de procédure pénale
22 L’article 191 du Nakazatelno-protsesualen kodeks (code de procédure pénale) (DV no 86, du 28 octobre 2005), dans sa version applicable au litige au principal, dispose :
« La procédure d’instruction est menée dans des affaires relevant de l’action publique. »
23 L’article 192 du code de procédure pénale, dans sa version applicable au litige au principal, dispose :
« La procédure d’instruction comprend une enquête et des actes du procureur après la clôture de l’enquête. »
Le code de procédure civile
24 Les articles 8 et 9 du Grazhdanski protsesualen kodeks (code de procédure civile) (DV no 59, du 20 juillet 2007), dans sa version applicable au litige au principal, mettent en œuvre respectivement les principes du contradictoire et de l’égalité des armes.
25 L’article 154 du code de procédure civile, dans sa version applicable au litige au principal, intitulé « Charge de la preuve », prévoit, à son paragraphe 1 :
« Chaque partie est tenue d’établir les faits sur lesquels elle fonde ses conclusions ou objections. »
Le Zakon za otgovornostta na darzhavata i obshtinite za vredi
26 L’article 2ter du Zakon za otgovornostta na darzhavata i obshtinite za vredi (loi sur la responsabilité de l’État et des communes pour les dommages causés) (DV no 60, du 5 août 1988) dispose :
« (1) L’État répond des dommages causés aux citoyens et aux personnes morales par une violation du droit à ce que l’affaire soit examinée et jugée dans un délai raisonnable conformément à l’article 6, paragraphe 1, de la [c]onvention [européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950].
(2) Les recours visés au paragraphe 1 sont examinés conformément au code de procédure civile, le juge tenant compte de la durée totale et de l’objet de la procédure, de sa complexité en fait et en droit, du comportement des parties et de leurs représentants procéduraux ou légaux, du comportement des autres parties à la procédure et des autorités compétentes, ainsi que d’autres faits pertinents pour la solution correcte du litige.
[...] »
Le litige au principal et les questions préjudicielles
27 En 2013, le parquet d’arrondissement de Petrich a ouvert la procédure d’instruction no 252/2013 contre un auteur inconnu, pour la commission d’une infraction visée à l’article 325, paragraphe 1, du Nakazatelen Kodeks (code pénal), lu conjointement avec l’article 20, paragraphe 2, de celui-ci, dans le cadre d’un incident survenu dans un bar. Le requérant au principal, VS, a participé à cette procédure en tant que victime de cette infraction.
28 En 2016, à la suite de plusieurs plaintes visant, notamment, VS, le parquet d’arrondissement de Petrich a constitué plusieurs dossiers contenant des informations relatives à cette personne, sans toutefois ouvrir de procédure d’instruction en l’absence d’indices de la commission d’une infraction.
29 En 2018, dans le cadre de la procédure d’instruction no 252/2013, le procureur a inculpé toutes les personnes ayant participé à l’incident faisant l’objet de cette procédure, y compris VS.
30 Dans le cadre d’une procédure civile, VS a formé, devant l’Okrazhen sad Blagoevgrad (tribunal régional de Blagoevgrad, Bulgarie), un recours contre le parquet de la République de Bulgarie tendant à la réparation du préjudice allégué résultant de la durée excessive de la procédure d’instruction no 252/2013. Lors de l’audience du 15 octobre 2018, aux fins d’assurer la défense dudit parquet, un procureur du parquet d’arrondissement de Petrich, représentant du ministère public, a demandé à ce que les
dossiers ouverts par ce parquet en 2016, mentionnés au point 28 du présent arrêt, soient produits dans le cadre dudit recours. Il ressort de la décision de renvoi que ce procureur entendait ainsi démontrer que les problèmes de santé allégués par le requérant au principal n’étaient pas, comme ce dernier l’affirmait, imputables à ladite procédure d’instruction, mais avaient été causés par les contrôles effectués par la police et par le parquet d’arrondissement de Petrich dans le cadre desdits
dossiers. Lors de cette audience, l’Okrazhen sad Blagoevgrad (tribunal régional de Blagoevgrad) a ordonné audit parquet d’arrondissement de produire des copies certifiées conformes des pièces des dossiers en cause, ce à quoi le procureur de ce parquet a procédé.
31 Le 12 mars 2020, VS a formé un recours devant l’IVSS, en faisant valoir la violation, par le parquet d’arrondissement de Petrich, des dispositions relatives à la protection des données à caractère personnel. D’une part, par son premier moyen, il soutenait que ce parquet avait illégalement utilisé les données à caractère personnel le concernant, qui avaient été collectées alors qu’il était considéré comme une victime d’une infraction, aux fins de le poursuivre dans le cadre de la même procédure et
pour les mêmes faits. D’autre part, par son second moyen, il invoquait l’illégalité du traitement des données à caractère personnel collectées dans le cadre des dossiers mentionnés au point 28 du présent arrêt, auquel le même parquet avait procédé dans le cadre du recours en responsabilité qu’il avait formé contre le parquet de la République de Bulgarie. Par décision du 22 juin 2020, l’IVSS a rejeté ce recours.
32 Le 31 juillet 2020, VS a formé, devant la juridiction de renvoi, un recours contre cette décision, par lequel il soutient, d’une part, que le traitement des données à caractère personnel le concernant dans le cadre de la procédure d’instruction no 252/2013 est en contradiction, notamment, avec les principes de la directive 2016/680 et, d’autre part, que le traitement des données collectées dans le cadre des dossiers visés au point 28 du présent arrêt, après que le parquet a refusé d’engager une
procédure d’instruction, méconnaît les principes du RGPD.
33 Considérant, à la lumière de la jurisprudence de la Cour, que le litige au principal se rapporte au traitement des données à caractère personnel dans le cadre d’activités relevant du champ d’application du RGPD et de la directive 2016/680, la juridiction de renvoi s’interroge sur les limites fixées par le droit de l’Union en ce qui concerne le traitement ultérieur de données à caractère personnel qui ont été collectées par le responsable du traitement aux fins, initialement, d’enquête et de
détection d’une infraction pénale.
34 En particulier, d’une part, la juridiction de renvoi se demande si, dans le cas où le parquet de la République de Bulgarie, en tant qu’« autorité compétente », au sens de l’article 3, paragraphe 7, sous a), de la directive 2016/680, et en tant que « responsable du traitement », au sens de l’article 3, paragraphe 8, de cette directive, a collecté, aux fins d’enquête et de détection d’une infraction pénale, des données à caractère personnel concernant une personne considérée comme une victimede
ladite infraction au moment de cette collecte, le traitement ultérieur de ces données par la même autorité aux fins de poursuite de cette personne répond à une finalité relevant de ladite directive, mais autre que celles pour lesquelles les données en cause ont été collectées, au sens de l’article 4, paragraphe 2, de celle-ci.
35 D’autre part, la juridiction de renvoi constate que la référence, dans le cadre du recours en responsabilité introduit par VS, aux informations relatives à cette personne contenues dans les dossiers ouverts par le parquet d’arrondissement de Petrich en 2016 poursuit une finalité différente de celle pour laquelle ces informations ont été collectées et relève que, dans le cadre de ce recours, le parquet, en tant que partie défenderesse, n’agit pas à des fins de prévention, d’instruction, de
détection ou de poursuite d’infractions pénales. Cependant, la juridiction de renvoi se demande si le simple fait d’indiquer à la juridiction civile compétente que lesdits dossiers concernent VS et de transmettre à celle-ci tout ou partie de ces informations constituent des « traitement[s] » de « données à caractère personnel », au sens de l’article 4, points 1 et 2, du RGPD, relevant du champ d’application de ce dernier, conformément à son article 2, paragraphe 1.
36 Par ailleurs, la juridiction de renvoi considère, en substance, que le litige au principal soulève la question de la conciliation entre la protection des données à caractère personnel et les droits d’une partie à une procédure judiciaire, lorsque ces données ont été collectées par cette partie, en tant que responsable du traitement, au sens de l’article 3, paragraphe 8, de la directive 2016/680, en particulier, au regard de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, relatif à la
nécessité du traitement aux fins des intérêts légitimes poursuivis par ce responsable.
37 En effet, la juridiction de renvoi considère que les autres motifs pour lesquels un traitement de données à caractère personnel relevant du RGPD est considéré comme licite, qui sont énoncés à l’article 6, paragraphe 1, premier alinéa, de ce règlement, ne sont pas pertinents dans le cadre du litige au principal. En particulier, elle estime que la fourniture, par le parquet à la juridiction compétente, d’informations relatives aux dossiers pénaux qu’il a ouverts, aux fins d’assurer sa défense dans
le cadre d’une procédure civile, n’est pas nécessaire à l’exécution d’une mission d’intérêt public ni ne relève de l’exercice de l’autorité publique, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), dudit règlement.
38 Dans ces conditions, l’Administrativen sad – Blagoevgrad (tribunal administratif de Blagoevgrad, Bulgarie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 1er, paragraphe 1, de la directive [2016/680] doit-il être interprété en ce sens que les fins qui y sont énumérées, “de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière [ou d’exécution de sanctions pénales]” doivent s’entendre comme des aspects d’une même finalité générale ?
2) a) Les dispositions du [RGPD] sont-elles applicables au [p]arquet de la République de Bulgarie parce que, dans le cadre de sa défense devant une juridiction, en tant que partie à une procédure civile, celui–ci a utilisé les informations relatives à une personne, qu’il a collectées en tant que “responsable du traitement”, au sens de l’article 3, [paragraphe] 8, de la directive 2016/680, relatives à une personne et concernant un dossier qu’il a ouvert à l’encontre de cette personne, afin de
vérifier des indices de la commission d’une infraction pénale, en indiquant qu’un tel dossier avait été ouvert ou en présentant les pièces de ce dossier ?
b) En cas de réponse affirmative à cette question [c]onvient-il d’interpréter l’expression “intérêts légitimes” figurant à l’article 6, paragraphe 1, [premier alinéa, sous f)], du [RGPD] en ce sens qu’elle inclut la divulgation, en tout ou en partie, d’informations relatives à une personne qui ont été collectées dans un dossier du parquet la concernant, ouvert à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou de poursuite
d’infractions pénales, si cette divulgation intervient aux fins de la défense du responsable du traitement en tant que partie à une procédure civile, et en ce sens qu’elle exclut le consentement de la personne concernée ? »
Sur les questions préjudicielles
Sur la première question
39 À titre liminaire, il y a lieu de relever que, même si la juridiction de renvoi a formellement limité sa première question à l’interprétation de l’article 1er, paragraphe 1, de la directive 2016/680, cette circonstance ne fait pas obstacle à ce que la Cour lui fournisse tous les éléments d’interprétation qui peuvent être utiles au jugement de l’affaire au principal, en extrayant de l’ensemble des éléments fournis par cette juridiction, et notamment de la motivation de la décision de renvoi, les
éléments du droit de l’Union qui appellent une interprétation, compte tenu de l’objet du litige (voir, en ce sens, arrêt du 22 avril 2021, Profi Credit Slovakia, C–485/19, EU:C:2021:313, point 50 et jurisprudence citée).
40 Il s’ensuit que, par sa première question, la juridiction de renvoi cherche, en substance, à savoir si l’article 1er, paragraphe 1, de la directive 2016/680, lu en combinaison avec l’article 4, paragraphe 2, et l’article 6 de celle-ci, doit être interprété en ce sens qu’un traitement de données à caractère personnel répond à une finalité autre que celle pour laquelle ces données ont été collectées, lorsque la collecte de telles données a été effectuée à des fins de détection d’une infraction
pénale et d’enquête sur celle-ci et que la personne concernée était, au moment de cette collecte, considérée comme une victime, tandis que ledit traitement est effectué aux fins de poursuivre cette personne à l’issue de l’enquête pénale en cause et, le cas échéant, si ce traitement est autorisé.
41 Selon une jurisprudence constante, il y a lieu, pour l’interprétation d’une disposition du droit de l’Union, de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie. La genèse d’une disposition du droit de l’Union peut également révéler des éléments pertinents pour son interprétation (voir, en ce sens, arrêt du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 48 et jurisprudence citée).
42 En premier lieu, il convient de relever, tout d’abord, que le libellé de l’article 1er, paragraphe 1, de la directive 2016/680, qui est relatif à l’objet de celle-ci, distingue expressément différentes catégories d’activités aux fins desquelles un traitement de données à caractère personnel en relevant est susceptible de répondre. À cet égard, il ressort des différentes versions linguistiques de ladite disposition, notamment celles en langues bulgare, espagnole, allemande, grecque, anglaise et
italienne, que les différentes finalités visées à cet article 1er, paragraphe 1, correspondent respectivement à la « prévention » des infractions pénales, à leur « détection », aux « enquêtes » en la matière, aux « poursuites » de ces infractions, à l’« exécution des sanctions pénales », à la « protection » contre les « menaces pour la sécurité publique » et à la « prévention » de telles menaces.
43 Ensuite, le libellé de l’article 4, paragraphe 2, de cette directive, qui énonce que le traitement pour « l’une des finalités énoncées à l’article 1er, paragraphe 1, [de celle-ci] autre que celle pour lesquelles les données ont été collectées » est autorisé, sous réserve du respect des exigences énoncées par cette disposition, confirme explicitement que les termes énumérés à cet article 1er, paragraphe 1, à savoir « prévention », « détection », « enquêtes », « poursuites », « exécution des
sanctions pénales », « protection contre les menaces pour la sécurité publique » et « prévention de telles menaces », visent une pluralité de finalités distinctes du traitement des données à caractère personnel relevant du champ d’application de la même directive.
44 Il se déduit ainsi des termes mêmes de l’article 1er, paragraphe 1, de la directive 2016/680, lu en combinaison avec l’article 4, paragraphe 2, de celle-ci, que, lorsque des données à caractère personnel ont été collectées à des fins de « détection » d’une infraction pénale et d’« enquêtes » sur celle-ci et traitées ultérieurement à des fins de « poursuites », ladite collecte et ledit traitement répondent à des finalités différentes.
45 Enfin, il convient d’observer que, aux termes de l’article 6 de la même directive, les États membres ont l’obligation de prévoir que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées telles que, notamment, celles mentionnées aux points a), b) et c) de cet article, à savoir, respectivement, les personnes à l’égard desquelles il existe des motifs sérieux
de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale, les personnes reconnues coupables d’une infraction pénale et les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale.
46 Par conséquent, une personne dont les données à caractère personnel sont traitées aux fins de la poursuivre pénalement doit être considérée comme relevant de la catégorie des personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis une infraction pénale, au sens du point a) de l’article 6 de la directive 2016/680. Il s’ensuit que, si, comme dans l’hypothèse visée par la première question, cette personne avait initialement été considérée comme une victime d’une
infraction pénale, au sens du point c) de l’article 6 de cette directive, ledit traitement reflète une modification de catégorie de ladite personne, ce dont il appartient au responsable du traitement de tenir compte en vertu de l’exigence de distinction claire entre les données de différentes catégories de personnes, énoncée à cet article.
47 Cela étant, force est de constater que ni l’article 1er, paragraphe 1, de la directive 2016/680 ni l’article 4, paragraphe 2, de celle-ci ne se réfèrent à l’article 6 de cette directive ou au contenu de celui-ci pour déterminer la finalité d’un traitement de données à caractère personnel relevant du champ d’application de ladite directive.
48 Au demeurant, comme M. l’avocat général l’a relevé en substance, au point 62 de ses conclusions, l’expression « le cas échéant et dans la mesure du possible », utilisée à l’article 6 de la directive 2016/680, indique clairement qu’il n’est pas nécessairement possible d’opérer une distinction claire entre de telles données, notamment lorsque, comme en l’occurrence, celles-ci sont collectées aux fins d’une « enquête » ou aux fins de « détection » d’une infraction pénale, dès lors qu’une même
personne est susceptible de relever de plusieurs catégories de personnes visées à l’article 6 de cette directive et que la détermination des catégories concernées est susceptible d’évoluer au cours de l’instruction, en fonction de l’élucidation progressive des faits en cause.
49 Il doit en être déduit que cet article 6 fixe une obligation distincte de celle prévue audit article 4, paragraphe 2, et, à l’instar de M. l’avocat général aux points 61 à 64 de ses conclusions, que ladite obligation n’est pas pertinente en vue de déterminer si un traitement de données à caractère personnel répond à une autre finalité que celle pour laquelle ces données ont été collectées, au sens de cette dernière disposition.
50 En deuxième lieu, s’agissant du contexte de la réglementation en cause, il y a lieu de relever que l’article 4, paragraphe 1, sous b) et c), de la directive 2016/680 dispose, d’une part, que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées d’une manière incompatible avec ces finalités et, d’autre part, que ces données doivent être adéquates, pertinentes et non excessives au regard des finalités pour
lesquelles elles sont traitées. Ces deux exigences sont énoncées, en substance, dans les mêmes termes à l’article 5, paragraphe 1, sous b) et c), du RGPD, lequel précise qu’elles correspondent, respectivement, aux principes de limitation des finalités et de minimisation des données.
51 Cela étant, il convient d’observer, à la lumière du considérant 29 de cette directive, que l’article 4, paragraphe 2, de celle-ci autorise un traitement ultérieur de données à caractère personnel pour une autre finalité que celle pour laquelle ces données ont été collectées, dès lors que cette finalité figure parmi celles énoncées à l’article 1er, paragraphe 1, de la même directive et que ce traitement satisfait aux deux conditions prévues à cet article 4, paragraphe 2, sous a) et b). D’une part,
le responsable du traitement doit être autorisé à traiter lesdites données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre. D’autre part, le traitement doit être nécessaire et proportionné à cette autre finalité.
52 En particulier, des données à caractère personnel collectées à des fins de « prévention » et de « détection » des infractions pénales ou d’« enquêtes » concernant de telles infractions sont susceptibles d’être traitées ultérieurement, le cas échéant, par des autorités compétentes différentes, en vue de « poursuites » ou d’« exécution de sanctions pénales », lorsqu’une infraction pénale a été identifiée et appelle, par conséquent, une action répressive.
53 Cependant, dans le cadre de la collecte de données à caractère personnel à des fins de « détection » d’infractions pénales et d’« enquêtes » sur celles-ci, les autorités compétentes sont amenées à recueillir toute donnée potentiellement pertinente pour la détermination des faits constitutifs de l’infraction pénale en cause à un stade où ceux-ci n’ont pas encore été établis. En revanche, dans le cadre du traitement des données à caractère personnel à des fins de « poursuites », ces données visent
à établir le caractère suffisamment probant des faits imputés aux personnes poursuivies ainsi que l’exactitude de la qualification pénale de ces faits, en vue de permettre à la juridiction compétente de statuer.
54 Par conséquent, d’une part, des données à caractère personnel nécessaires aux fins de « détection » d’une infraction pénale et d’« enquête » sur celle-ci ne le seront pas systématiquement aux fins de « poursuites ». D’autre part, les conséquences du traitement de données à caractère personnel pour les personnes concernées sont susceptibles d’être substantiellement différentes, en ce qui concerne, en particulier, le degré d’ingérence dans leur droit à la protection de ces données et les effets de
ce traitement sur leur situation juridique dans le cadre de la procédure pénale en cause.
55 En outre, il y a lieu de relever que le champ d’application dudit article 4, paragraphe 2, ne se limite pas aux traitements de données à caractère personnel effectués en lien avec la même infraction pénale que celle ayant justifié la collecte de ces mêmes données. En effet, comme l’expose le considérant 27 de la directive 2016/680, celle-ci tient compte de la nécessité, pour les autorités compétentes en matière de lutte contre les infractions pénales, de traiter des données à caractère personnel
pour une autre finalité que celle ayant conduit à la collecte de ces données, notamment dans l’objectif d’acquérir une meilleure compréhension des activités criminelles et d’établir des liens entre les différentes infractions pénales mises au jour.
56 Il résulte de ce qui précède que, afin de satisfaire aux exigences visées à l’article 4, paragraphe 2, sous a) et b), de la directive 2016/680, l’appréciation du respect de celles-ci par un traitement, par le même ou un autre responsable du traitement, de données à caractère personnel pour l’une des finalités énoncées à l’article 1er, paragraphe 1, autre que celles pour lesquelles ces données ont été collectées, doit être menée en tenant chacune des finalités visées à cet article 1er,
paragraphe 1, pour spécifique et distincte.
57 En troisième lieu, s’agissant des objectifs de la réglementation en cause, il y a lieu de relever que, ainsi qu’il ressort des considérants 10 et 11 de la directive 2016/680, le législateur de l’Union a entendu adopter des règles qui tiennent compte de la nature spécifique du domaine couvert par cette directive.
58 À cet égard, le considérant 12 énonce que les activités menées par la police ou d’autres autorités répressives sont axées principalement sur la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière, y compris les activités de police effectuées sans savoir au préalable si un incident constitue une infraction pénale ou non.
59 Il en découle que le législateur de l’Union a entendu adopter des règles correspondant aux spécificités qui caractérisent les activités menées par les autorités compétentes dans le domaine régi par cette directive, tout en tenant compte du fait qu’elles constituent des activités distinctes poursuivant des finalités qui leur sont propres.
60 Cette interprétation, effectuée à la lumière du contexte de la disposition en cause et des objectifs poursuivis par la réglementation dont elle fait partie, est corroborée par sa genèse, en particulier par l’exposé des motifs du Conseil relatif à la position (UE) no 5/2016 du Conseil en première lecture en vue de l’adoption d’une directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les
autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, C 158, p. 46). En effet, dans cet exposé des motifs, le Conseil justifie l’introduction de ladite disposition dans la directive 2016/680 en indiquant qu’elle « permet, par exemple, à un procureur [de] traiter à des fins de
poursuites pénales les mêmes données à caractère personnel que celles que la police traite aux fins d’une enquête criminelle, étant donné que les deux finalités citées dans cet exemple relèvent de l’article 1er, paragraphe 1[, de cette directive] ».
61 Il appartient donc à la juridiction de renvoi de déterminer, en vue de résoudre le litige au principal, si le traitement des données à caractère personnel concernant VS, opéré par le parquet d’arrondissement de Petrich aux fins de poursuivre cette personne, pouvait être autorisé au regard des conditions de l’article 4, paragraphe 2, de la directive 2016/680, en vérifiant si, d’une part, le droit pénal bulgare permettait à cette autorité de procéder à ce traitement et si, d’autre part, celui-ci
était nécessaire et proportionné à la finalité à laquelle il obéissait.
62 À cet égard, il y a lieu de relever que, aux fins d’apprécier le caractère nécessaire et proportionné d’un tel traitement, la juridiction de renvoi pourra, le cas échéant, tenir compte du fait que l’autorité en charge de ces poursuites doit pouvoir être en mesure de se fonder sur les données collectées au cours de ladite enquête en tant que preuves des faits constitutifs de l’infraction, notamment, celles relatives aux personnes impliquées dans celle-ci, pour autant que ces données sont
nécessaires à leur identification et à la détermination de leur implication.
63 Compte tenu de tout ce qui précède, il y a lieu de répondre à la première question que l’article 1er, paragraphe 1, de la directive 2016/680, lu en combinaison avec l’article 4, paragraphe 2, et l’article 6 de celle-ci, doit être interprété en ce sens qu’un traitement de données à caractère personnel répond à une finalité autre que celle pour laquelle ces données ont été collectées, lorsque la collecte de telles données a été effectuée à des fins de détection d’une infraction pénale et d’enquête
sur celle-ci, tandis que ledit traitement est effectué aux fins de poursuivre une personne à l’issue de l’enquête pénale en cause, et ce indépendamment du fait que cette personne était considérée comme une victimeau moment de ladite collecte, et qu’un tel traitement est autorisé en vertu de l’article 4, paragraphe 2, de cette directive, pour autant qu’il respecte les conditions prévues à cette disposition.
Sur la seconde question
64 Par sa seconde question, la juridiction de renvoi demande, en substance, d’une part, si l’article 3, paragraphe 8, et l’article 9, paragraphes 1 et 2, de la directive 2016/680 ainsi que l’article 2, paragraphes 1 et 2, du RGPD doivent être interprétés en ce sens que ce règlement est applicable aux traitements de données à caractère personnel effectués par le parquet d’un État membre, aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État, dans le cas où
il informe la juridiction compétente de l’existence de dossiers concernant une personne physique partie à ce recours, ouverts aux fins énoncées à l’article 1er, paragraphe 1, de cette directive et où il transmet ces dossiers à cette juridiction et, d’autre part, si, dans l’affirmative, l’article 6, paragraphe 1, premier alinéa, sous f), dudit règlement doit être interprété en ce sens qu’un tel traitement de données à caractère personnel peut être considéré comme licite aux fins des intérêts
légitimes poursuivis par le responsable du traitement, au sens de cette disposition.
Sur la recevabilité
65 Dans le cadre de ses observations écrites, l’IVSS remet en cause la recevabilité de la seconde question au motif que celle-ci est posée par la juridiction de renvoi dans le contexte de l’examen d’un moyen invoqué par VS qui avait été rejeté comme irrecevable par la décision faisant l’objet du recours au principal, en raison de l’expiration du délai légal pour le soulever.
66 Selon la jurisprudence constante de la Cour, les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation
sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 50 et jurisprudence citée).
67 En l’occurrence, il y a lieu de relever, ainsi que M. l’avocat général l’a fait observer aux points 76 et 77 de ses conclusions, que la question de la recevabilité des moyens soulevés par VS dans le cadre de son recours devant l’IVSS relève entièrement de la compétence de la juridiction de renvoi. Au demeurant, dans la décision de renvoi, cette juridiction a indiqué qu’elle considérait la seconde question comme pertinente, nonobstant le rejet comme irrecevable, par l’IVSS, du moyen mentionné au
point 65 du présent arrêt. Il n’appartient pas, en tout état de cause, à la Cour de réexaminer cette appréciation.
68 Il s’ensuit que la seconde question est recevable.
Sur le fond
– Sur l’application du RGPD au traitement de données à caractère personnel effectué par le parquet d’un État membre, aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État
69 En premier lieu, il convient de déterminer si l’utilisation, par le parquet d’un État membre, des informations concernant une personne physique qu’il a collectées et traitées à des fins relevant de l’article 1er, paragraphe 1, de la directive 2016/680, en vue d’exercer ses droits de la défense dans le cadre d’une procédure civile, constitue un « traitement » de « données à caractère personnel », au sens de l’article 4, points 1 et 2, du RGPD.
70 Tout d’abord, il convient de rappeler que constitue une « donnée à caractère personnel », au sens de l’article 4, point 1, du RGPD, « toute information se rapportant à une personne physique identifiée ou identifiable », étant entendu que, selon la jurisprudence, cette définition est applicable dès lors que, en raison de leur contenu, de leur finalité et de leur effet, les informations en cause sont liées à une personne déterminée (voir, en ce sens, arrêt du 20 décembre 2017, Nowak, C‑434/16,
EU:C:2017:994, point 35). Par ailleurs, aux termes de l’article 4, point 2, du RGPD, la notion de « traitement » est définie comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » telles que, notamment, « la consultation », « l’utilisation », « la communication par transmission », « la diffusion » ou « toute autre forme de mise à disposition ». Ces définitions
reflètent l’objectif du législateur de l’Union d’attribuer un sens large à ces deux notions [voir, en ce sens, arrêts du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 34, et du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 35].
71 À cet égard, d’une part, le fait, pour la partie défenderesse à une procédure civile, d’informer la juridiction compétente, même de manière succincte, dans ses écrits ou à l’audience, de l’ouverture de dossiers concernant la personne physique ayant engagé cette procédure, notamment à des fins de « détection » d’une infraction pénale ou d’« enquêtes » en matière pénale, implique que cette partie défenderesse a « consulté », « utilisé » et « transmis » ou « communiqué » des « données à caractère
personnel », au sens de l’article 4, points 1 et 2, du RGPD. Ainsi, tant par leur contenu que par leur finalité et leur effet, ces informations sont liées à une personne déterminée, identifiable tant par la partie qui les a divulguées que par la juridiction à laquelle elles sont transmises.
72 D’autre part, le fait, pour cette partie défenderesse, de produire, à la demande de la juridiction compétente, les dossiers relatifs aux procédures concernant ladite personne physique, implique, à tout le moins, « l’utilisation » et la « communication par transmission » de « données à caractère personnel », au sens de l’article 4, points 1 et 2, du RGPD.
73 En deuxième lieu, il convient de rappeler que l’article 2, paragraphe 1, du RGPD définit de manière large le champ d’application matériel de ce règlement [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 61], lequel inclut tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu[e] [le] traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Le
corollaire de cette définition large est que les exceptions à l’application du RGPD, énumérées au paragraphe 2 de l’article 2 de celui-ci doivent recevoir une interprétation stricte. Tel est, en particulier, le cas de l’exception prévue au paragraphe 2, sous d), de cet article qui concerne le traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution
de sanctions pénales [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, points 40 et 41 ainsi que jurisprudence citée].
74 À cet égard, la Cour a jugé, ainsi qu’il résulte du considérant 19 de ce règlement, que cette exception est motivée par la circonstance que les traitements de données à caractère personnel par les autorités compétentes aux fins énoncées à l’article 2, paragraphe 2, sous d), du RGPD sont régis par un acte spécifique de l’Union, à savoir la directive 2016/680, laquelle a été adoptée le même jour que le RGPD [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des
données personnelles à des fins fiscales), C‑175/20, EU:C:2022:124, point 42 et jurisprudence citée].
75 Ainsi qu’il se déduit du considérant 12 de la directive 2016/680, le législateur de l’Union a prévu, à l’article 9 de cette directive, des règles relatives au traitement de données à caractère personnel à des fins autres que celles énoncées à l’article 1er, paragraphe 1, de ladite directive, pour lesquelles ces données ont été collectées.
76 À cet égard, l’article 9, paragraphe 1, de la directive 2016/680 prévoit, d’une part, qu’un tel traitement de données à caractère personnel ne peut, en principe, être effectué, à moins qu’il soit autorisé par le droit de l’Union ou le droit d’un État membre et, d’autre part, que le RGPD s’applique à ce traitement, à moins qu’il ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union. Par ailleurs, en vertu de l’article 9, paragraphe 2, de cette
directive, à moins que le traitement ne soit effectué dans le cadre d’une telle activité, le RGPD est applicable au traitement effectué par les autorités compétentes dans le cadre de leurs missions autres que celles exécutées aux fins énoncées à l’article 1er, paragraphe 1, de ladite directive.
77 Or, dans les hypothèses qui sont visées aux points 71 et 72 du présent arrêt, la collecte et le traitement de données à caractère personnel, par le parquet d’un État membre, aux fins de « prévention », de « détection » des infractions pénales, d’« enquêtes » ou de « poursuites » en la matière constituent assurément des traitements de données à caractère personnel aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680, au sens de l’article 9, paragraphes 1 et 2, de cette
directive.
78 Cependant, même si l’introduction d’un recours en responsabilité de l’État a pour origine des fautes présumées commises par le parquet dans le cadre d’une procédure pénale, telles que, comme en l’occurrence, des violations alléguées du droit à être jugé dans un délai raisonnable, la défense de l’État dans le cadre d’un tel recours n’a pas pour objectif d’assurer, en tant que telles, les missions incombant à ce parquet aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680.
79 En outre, eu égard au principe d’interprétation stricte des exceptions à l’application du RGPD, les mêmes traitements de données à caractère personnel ne sauraient être considérés comme effectués « dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union », au sens de l’article 2, paragraphe 2, sous a), du RGPD et de l’article 9, paragraphes 1 et 2, de la directive 2016/680. À cet égard, il résulte de la jurisprudence que cette expression a pour seul objet d’exclure
du champ d’application du RGPD les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie. Or, la participation d’une autorité publique à une procédure civile en tant que partie défenderesse dans le cadre d’un recours en responsabilité de l’État ne vise pas à préserver la sécurité nationale ni ne saurait être rangée dans la même catégorie
d’activité [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, points 66 à 68 et jurisprudence citée].
80 En troisième lieu, il y a lieu de relever que, aux fins de l’application du RGPD aux traitements de données visés aux points 71 et 72 du présent arrêt, le parquet doit être considéré comme un « responsable du traitement », au sens non seulement de l’article 4, point 7, du RGPD mais également de l’article 3, paragraphe 8, de la directive 2016/680, en ce que « [seul] ou conjointement avec d’autres », il « détermine les finalités et les moyens » de ces traitements, au sens de cette dernière
disposition. En effet, c’est cette autorité, en tant que partie à la procédure, qui informe la juridiction compétente de l’existence de dossiers ouverts en matière pénale concernant l’autre partie et qui lui transmet ces dossiers. Sa qualité de « responsable du traitement », eu égard à la définition large de cette notion, qui vise à assurer une protection efficace et complète des personnes concernées, est indépendante de son degré d’implication et de son niveau de responsabilité, lesquels peuvent
être différents de ceux de la juridiction compétente, à qui il appartient d’autoriser, voire d’ordonner, de tels traitements (voir, par analogie, arrêt du 29 juillet 2019, Fashion ID, C‑40/17, EU:C:2019:629, points 66 à 70).
81 Or, indépendamment de la question de savoir si les traitements de données visés au point 80 du présent arrêt relèvent du paragraphe 1 ou du paragraphe 2 de l’article 9 de la directive 2016/680, il ressort du libellé de ces paragraphes et de leur articulation que le RGPD s’applique à tout traitement de données à caractère personnel collectées aux fins énoncées à l’article 1er,paragraphe 1, de cette directive, à des fins autres que celles-ci, sauf si le traitement en cause ne relève pas du droit de
l’Union, y compris lorsque le « responsable du traitement », au sens de l’article 3, paragraphe 8, de ladite directive, est une « autorité compétente », au sens de l’article 3, paragraphe 7, sous a), de celle-ci, et qu’il effectue le traitement de données à caractère personnel dans le cadre d’autres missions que celles exécutées aux fins énoncées à l’article 1er, paragraphe 1, de la même directive.
82 Eu égard à tout ce qui précède, il y a lieu de considérer que le RGPD est applicable aux traitements de données à caractère personnel effectués par le parquet d’un État membre, aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État, lorsque, d’une part, il informe la juridiction compétente de l’existence de dossiers concernant une personne physique partie à ce recours, ouverts aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680 et
que, d’autre part, il transmet ces dossiers à cette juridiction.
– Sur la licéité du traitement de données à caractère personnel effectué par le parquet d’un État membre, aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État
83 Il convient de rappeler que l’article 6 du RGPD énumère, de manière limitative, les cas dans lesquels un traitement des données à caractère personnel peut être considéré comme licite [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 99].
84 Parmi ces cas, l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD prévoit le traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement et l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement vise le traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et
les droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. Selon l’article 6, paragraphe 1, second alinéa, dudit règlement, l’article 6, paragraphe 1, premier alinéa, sous f), de celui-ci ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.
85 Il convient de relever que, comme la Commission européenne l’a fait remarquer, à juste titre, dans ses observations écrites, il ressort clairement du libellé de l’article 6, paragraphe 1, second alinéa, du RGPD qu’un traitement de données à caractère personnel effectué par une autorité publique dans le cadre de l’exécution de ses missions ne peut pas relever du champ d’application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, relatif aux traitements de données à caractère
personnel nécessaires aux fins des intérêts légitimes poursuivis par le responsable du traitement. Ainsi qu’il résulte du considérant 47 du RGPD et comme la Commission l’a fait valoir, cette dernière disposition ne saurait s’appliquer à de tels traitements de données, dès lors que la base juridique de ceux-ci doit être prévue par le législateur. Il s’ensuit que, lorsque le traitement effectué par une autorité publique est nécessaire à l’exécution d’une mission d’intérêt public, et que, partant,
il relève des missions mentionnées à l’article 6, paragraphe 1, second alinéa, de ce règlement, l’application de l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD et celle de l’article 6, paragraphe 1, premier alinéa, sous f), de celui-ci sont exclusives l’une de l’autre.
86 Il convient donc, avant d’envisager la question de l’application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, de déterminer si le traitement, par le parquet d’un État membre, de données à caractère personnel, initialement collectées en vue de l’une ou de plusieurs des finalités énoncées à l’article 1er, paragraphe 1, de la directive 2016/680, aux fins d’assurer la défense de l’État ou d’un organe public, dans le cadre d’un recours en responsabilité visant à l’indemnisation des
dommages causés par la faute de l’État ou d’un organe public dans l’exercice de leurs missions, est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique dont il est investi, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), de ce règlement.
87 Or, comme M. l’avocat général l’a relevé, en substance, aux points 94 et 100 de ses conclusions, lorsqu’il incombe au parquet de défendre les intérêts juridiques et patrimoniaux de l’État dans le cadre d’un recours en responsabilité qui met en cause les agissements ou le comportement de cette autorité publique dans le cadre des missions d’intérêt public qui lui sont confiées en matière pénale, la défense de ces intérêts peut constituer, en vertu du droit national, une mission d’intérêt public, au
sens de l’article 6, paragraphe 1, premier alinéa, sous e), dudit règlement.
88 En effet, d’une part, par l’exercice des droits procéduraux qui lui sont octroyés en tant que partie défenderesse, ladite autorité publique préserve la sécurité juridique des actes effectués et des décisions adoptées dans l’intérêt public, mis en cause par la partie requérante. Ses prises de position sur les moyens et les arguments de cette dernière sont susceptibles d’éviter, le cas échéant, le risque que ceux-ci compromettent l’application effective des règles qui lui incombe dans le cadre des
missions dont l’exercice fautif lui est imputé.
89 D’autre part, par ses moyens et arguments de défense, la même autorité publique est susceptible de mettre en exergue, lorsque tel est le cas, le caractère éventuellement infondé ou excessif des demandes indemnitaires de la partie requérante, en vue, notamment, d’éviter que l’exécution des missions d’intérêt public qui est mise en cause dans le cadre du recours en responsabilité soit entravée par la perspective d’actions en dommages et intérêts, lorsque ces missions sont susceptibles de porter
atteinte aux intérêts des particuliers.
90 À cet égard, est sans incidence le fait que, dans le cadre d’un recours en responsabilité de l’État, le parquet agit, en tant que partie défenderesse, sur un pied d’égalité avec les autres parties, et n’exerce pas de prérogatives de puissance publique, comme c’est le cas dans le cadre de l’exercice de ses missions en matière pénale.
91 En l’occurrence, il ressort de la décision de renvoi ainsi que des précisions apportées par le gouvernement bulgare en réponse aux questions de la Cour que le recours en responsabilité, qui est, en partie, à l’origine du litige au principal, est fondé sur la loi sur la responsabilité de l’État et des communes pour les dommages causés, mentionnée au point 26 du présent arrêt, qui institue un régime de responsabilité de l’État pour les dommages causés par une violation du droit à ce que l’affaire
soit examinée et jugée dans un délai raisonnable, et que, conformément à l’article 7 de cette loi, c’est l’autorité dont les actes, les actions ou les omissions illicites ont causé le préjudice qui est partie au litige et qui se substitue, à ce titre, à l’État sur le plan procédural.
92 Ainsi, le rôle de l’autorité à l’origine du dommage allégué dans le cadre d’un tel recours en responsabilité se distingue de celui de la partie défenderesse dans le cadre d’une action récursoire de l’État dirigée contre l’agent public dont la responsabilité personnelle est engagée en raison des manquements commis dans l’exercice de ses fonctions, dès lors que, dans cette dernière hypothèse, ce rôle vise à la défense d’intérêts privés (voir, en ce sens, arrêt du 18 mai 2021, Asociaţia Forumul
Judecătorilor din România e.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 225).
93 Dès lors, au vu des considérations qui précèdent, il y a lieu de considérer que le traitement, par le parquet d’un État membre, de données à caractère personnel, initialement collectées et traitées en vue d’une ou de plusieurs des finalités énoncées à l’article 1er, paragraphe 1, de la directive 2016/680, aux fins d’assurer la défense de l’État, dans le cadre d’un recours en responsabilité visant à l’indemnisation des dommages causés par la faute de ce parquet dans l’exercice de ses missions est,
en principe, de nature à relever non pas du champ d’application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, mais plutôt de celui de l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD.
94 Par ailleurs, il ne saurait être exclu que, lorsque, aux fins d’assurer la défense de l’État dans le cadre d’un recours en responsabilité, le parquet d’un État membre transmet des données à caractère personnel à la juridiction compétente, à la demande de cette dernière, cette transmission soit également susceptible de relever du champ d’application de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, lorsque, en vertu du droit national applicable, ledit parquet est tenu de donner suite
à une telle demande.
95 Dans ces conditions, aux fins d’établir que des traitements de données à caractère personnel tels que ceux en cause au principal relèvent du champ d’application des dispositions de l’article 6, paragraphe 1, premier alinéa, du RGPD, il revient à la juridiction de renvoi de vérifier que, conformément à l’article 6, paragraphe 3, de ce règlement, le droit national définit, d’une part, le fondement de tels traitements et, d’autre part, les finalités de ces derniers ou, en ce qui concerne cet
article 6, paragraphe 1, premier alinéa, sous e), que lesdits traitements sont nécessaires à l’exécution, par le parquet, de sa mission d’intérêt public.
96 Il appartient, par ailleurs, à la juridiction de renvoi de déterminer si la divulgation, par le parquet, d’informations concernant l’auteur du recours en responsabilité, contenues dans des dossiers ouverts dans d’autres affaires que celle à l’origine de ce recours, répond aux autres exigences prévues par le RGPD, et en particulier au principe de « minimisation des données », visé à l’article 5, paragraphe 1, sous c), du RGPD, selon lequel les données à caractère personnel doivent être adéquates,
pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées et qui donne expression au principe de proportionnalité [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 98]. En outre, il lui appartient de vérifier que ce traitement de données à caractère personnel a été effectué dans le respect des garanties appropriées, en particulier de la possibilité de commenter efficacement
les informations et les éléments de preuve fournis dans ce cadre par le parquet, mais aussi, conformément à l’article 21, paragraphe 1, du RGPD, de s’opposer à la communication de ces informations et de ces éléments de preuve à la juridiction compétente, sous réserve des limitations à ce droit d’opposition prévues par la législation nationale, conformément à l’article 23, paragraphe 1, de ce règlement.
97 Eu égard à tout ce qui précède, il y a lieu de répondre à la seconde question que :
– l’article 3, paragraphe 8, et l’article 9, paragraphes 1 et 2, de la directive 2016/680 ainsi que l’article 2, paragraphes 1 et 2, du RGPD doivent être interprétés en ce sens que ce règlement est applicable aux traitements de données à caractère personnel effectués par le parquet d’un État membre, aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État, lorsque, d’une part, il informe la juridiction compétente de l’existence de dossiers concernant une
personne physique partie à ce recours, ouverts aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680 et que, d’autre part, il transmet ces dossiers à cette juridiction ;
– l’article 6, paragraphe 1, du RGPD doit être interprété en ce sens que, dans le cas où un recours en responsabilité de l’État est fondé sur les manquements imputés au parquet dans le cadre de l’exercice de ses missions en matière pénale, de tels traitements de données à caractère personnel peuvent être considérés comme licites s’ils sont nécessaires à l’exercice d’une mission d’intérêt public, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), de ce règlement, de défense des
intérêts juridiques et patrimoniaux de l’État, confiée au parquet dans le cadre de cette procédure, sur le fondement du droit national, pour autant que lesdits traitements de données à caractère personnel répondent à l’ensemble des exigences applicables prévues par ledit règlement.
Sur les dépens
98 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (cinquième chambre) dit pour droit :
1) L’article 1er, paragraphe 1, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en
combinaison avec l’article 4, paragraphe 2, et l’article 6 de celle-ci,
doit être interprété en ce sens que :
un traitement de données à caractère personnel répond à une finalité autre que celle pour laquelle ces données ont été collectées, lorsque la collecte de telles données a été effectuée à des fins de détection d’une infraction pénale et d’enquête sur celle-ci, tandis que ledit traitement est effectué aux fins de poursuivre une personne à l’issue de l’enquête pénale en cause, et ce indépendamment du fait que cette personne était considérée comme une victime au moment de ladite collecte, et qu’un
tel traitement est autorisé en vertu de l’article 4, paragraphe 2, de cette directive, pour autant qu’il respecte les conditions prévues par cette disposition.
2) L’article 3, paragraphe 8, et l’article 9, paragraphes 1 et 2, de la directive 2016/680 ainsi que l’article 2, paragraphes 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
ce règlement est applicable aux traitements de données à caractère personnel effectués par le parquet d’un État membre, aux fins d’exercer ses droits de la défense dans le cadre d’un recours en responsabilité de l’État, lorsque, d’une part, il informe la juridiction compétente de l’existence de dossiers concernant une personne physique partie à ce recours, ouverts aux fins énoncées à l’article 1er, paragraphe 1, de la directive 2016/680 et que, d’autre part, il transmet ces dossiers à cette
juridiction.
3) L’article 6, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
dans le cas où un recours en responsabilité de l’État est fondé sur les manquements imputés au parquet dans le cadre de l’exercice de ses missions en matière pénale, de tels traitements de données à caractère personnel peuvent être considérés comme licites s’ils sont nécessaires à l’exercice d’une mission d’intérêt public, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), de ce règlement, de défense des intérêts juridiques et patrimoniaux de l’État, confiée au parquet dans le cadre
de cette procédure, sur le fondement du droit national, pour autant que lesdits traitements de données répondent à l’ensemble des exigences applicables prévues par ledit règlement.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le bulgare.
