ARRÊT DE LA COUR (cinquième chambre)
4 mai 2023 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs au traitement – Responsabilité du traitement – Article 6 – Licéité du traitement – Dossier électronique relatif à une demande d’asile établi par une autorité administrative – Transmission à la juridiction nationale compétente via une boîte postale électronique – Violation des articles 26 et 30 – Absence d’accord déterminant la
responsabilité conjointe du traitement et de la tenue du registre des activités de traitement – Conséquences – Article 17, paragraphe 1 – Droit à l’effacement (“droit à l’oubli”) – Article 18, paragraphe 1 – Droit à la limitation du traitement – Notion de “traitement illicite” – Prise en compte du dossier électronique par une juridiction nationale – Absence de consentement de la personne concernée »
Dans l’affaire C‑60/22,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 27 janvier 2022, parvenue à la Cour le 1er février 2022, dans la procédure
UZ
contre
Bundesrepublik Deutschland,
LA COUR (cinquième chambre),
composée de M. E. Regan (rapporteur), président de chambre, MM. D. Gratsias, M. Ilešič, I. Jarukaitis et Z. Csehi, juges,
avocat général : Mme T. Ćapeta,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour UZ, par Me J. Leuschner, Rechtsanwalt,
– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,
– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,
– pour le gouvernement français, par Mme A.-L. Desjonquères et M. J. Illouz, en qualité d’agents,
– pour le gouvernement autrichien, par M. A. Posch ainsi que par Mmes M.–T. Rappersberger et J. Schmoll, en qualité d’agents,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,
vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 5, de l’article 17, paragraphe 1, sous d), de l’article 18, paragraphe 1, sous b), ainsi que des articles 26 et 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des
données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci–après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant UZ, un ressortissant de pays tiers, à la Bundesrepublik Deutschland (République fédérale d’Allemagne), représentée par le Bundesamt für Migration und Flüchtlinge (Office fédéral des migrations et des réfugiés, Allemagne) (ci-après l’« Office fédéral »), au sujet du traitement de la demande de protection internationale introduite par ce ressortissant.
Le cadre juridique
Le droit de l’Union
La directive 2013/32/UE
3 Le considérant 52 de la directive 2013/32/UE du Parlement européen et du Conseil, du 26 juin 2013, relative à des procédures communes pour l’octroi et le retrait de la protection internationale (refonte) (JO 2013, L 180, p. 60), est ainsi libellé :
« La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [(JO 1995, L 281, p. 31)] régit le traitement des données à caractère personnel effectué dans les États membres en vertu de la présente directive. »
Le RGPD
4 Les considérants 1, 10, 40, 74, 79 et 82 du RGPD sont ainsi libellés :
« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne [...] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]
[...]
(40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l’obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un contrat auquel la
personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.
[...]
(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de
la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.
[...]
(79) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du
traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement.
[...]
(82) Afin de démontrer qu’il respecte le présent règlement, le responsable du traitement ou le sous-traitant devrait tenir des registres pour les activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l’autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. »
5 Le chapitre I du RGPD, intitulé « Dispositions générales », comporte les articles 1er à 4.
6 Aux termes de l’article 1er de ce règlement, intitulé « Objet et objectifs » :
« 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
[...] »
7 L’article 4 dudit règlement, intitulé « Définitions », dispose, à ses points 2, 7 et 21 :
« 2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;
[...]
21) “autorité de contrôle”, une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 ;
[...] »
8 Le chapitre II du RGPD, intitulé « Principes », comporte les articles 5 à 11.
9 L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89,
paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
10 L’article 6 dudit règlement, intitulé « Licéité du traitement », énonce, à son paragraphe 1 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »
11 L’article 7 du RGPD porte sur les conditions applicables au consentement, tandis que l’article 8 de ce règlement détermine les conditions applicables au consentement des enfants en ce qui concerne les services de la société de l’information.
12 L’article 9 de ce règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », interdit le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des
données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
13 L’article 10 dudit règlement, intitulé « Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions », concerne le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, du même règlement.
14 Le chapitre III du RGPD, intitulé « Droits de la personne concernée », comporte les articles 12 à 23.
15 L’article 17 de ce règlement, intitulé « Droit à l’effacement (“droit à l’oubli”) », est ainsi libellé :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
[...]
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
[...]
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :
[...]
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...]
e) à la constatation, à l’exercice ou à la défense de droits en justice. »
16 Aux termes de l’article 18 dudit règlement, intitulé « Droit à la limitation du traitement » :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :
[...]
b) le traitement est illicite et la personne concernée s’oppose à [l’effacement des données à caractère personnel] et exige à la place la limitation de leur utilisation ;
[...]
2. Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.
[...] »
17 Le chapitre IV du RGPD, intitulé « Responsable du traitement et sous-traitant », comporte les articles 24 à 43.
18 Figurant dans la section 1 de ce chapitre, intitulée « Obligations générales », l’article 26 de ce règlement, intitulé « Responsables conjoints du traitement », est ainsi libellé :
« 1. Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations
visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord.
2. L’accord visé au paragraphe 1 reflète dûment les rôles respectifs des responsables conjoints du traitement et leurs relations vis-à-vis des personnes concernées. Les grandes lignes de l’accord sont mises à la disposition de la personne concernée.
3. Indépendamment des termes de l’accord visé au paragraphe 1, la personne concernée peut exercer les droits que lui confère le présent règlement à l’égard de et contre chacun des responsables du traitement. »
19 L’article 30 dudit règlement, intitulé « Registre des activités de traitement », prévoit :
« 1. Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité. Ce registre comporte toutes les informations suivantes :
a) le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
b) les finalités du traitement ;
c) une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
d) les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
[...]
4. Le responsable du traitement ou le sous-traitant et, le cas échéant, leur représentant mettent le registre à la disposition de l’autorité de contrôle sur demande.
[...] »
20 Figurant dans le chapitre VI du RGPD, intitulé « Autorités de contrôle indépendantes », l’article 58 de celui-ci, intitulé « Pouvoirs », dispose, à son paragraphe 2 :
« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
a) avertir un responsable du traitement ou un sous-traitant du fait que les opérations de traitement envisagées sont susceptibles de violer les dispositions du présent règlement ;
b) rappeler à l’ordre un responsable du traitement ou un sous-traitant lorsque les opérations de traitement ont entraîné une violation des dispositions du présent règlement ;
c) ordonner au responsable du traitement ou au sous-traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;
d) ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;
e) ordonner au responsable du traitement de communiquer à la personne concernée une violation de données à caractère personnel ;
f) imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement ;
g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19 ;
h) retirer une certification ou ordonner à l’organisme de certification de retirer une certification délivrée en application des articles 42 et 43, ou ordonner à l’organisme de certification de ne pas délivrer de certification si les exigences applicables à la certification ne sont pas ou plus satisfaites ;
i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;
j) ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale. »
21 Le chapitre VIII de ce règlement, intitulé « Voies de recours, responsabilité et sanctions », comporte les articles 77 à 84.
22 L’article 77 dudit règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », dispose, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
23 L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », énonce, à ses paragraphes 1 et 2 :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci. »
24 L’article 83 de ce règlement, intitulé « Conditions générales pour imposer des amendes administratives », prévoit, à ses paragraphes 4, 5 et 7 :
« 4. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 10000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les obligations incombant au responsable du traitement et au sous-traitant en vertu des articles 8, 11, 25 à 39, 42 et 43 ;
[...]
5. Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20000000 [euros] ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu :
a) les principes de base d’un traitement, y compris les conditions applicables au consentement en vertu des articles 5, 6, 7 et 9 ;
[...]
7. Sans préjudice des pouvoirs dont les autorités de contrôle disposent en matière d’adoption de mesures correctrices en vertu de l’article 58, paragraphe 2, chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics établis sur son territoire. »
25 Figurant dans le chapitre XI dudit règlement, intitulé « Dispositions finales », l’article 94 de celui-ci, intitulé « Abrogation de la directive 95/46/CE », dispose :
« 1. La directive 95/46/CE est abrogée avec effet au 25 mai 2018.
2. Les références faites à la directive abrogée s’entendent comme faites au présent règlement. Les références faites au groupe de protection des personnes à l’égard du traitement des données à caractère personnel institué par l’article 29 de la directive 95/46/CE s’entendent comme faites au comité européen de la protection des données institué par le présent règlement. »
Le droit allemand
26 L’article 43 du Bundesdatenschutzgesetz (loi fédérale sur la protection des données), du 20 décembre 1990 (BGBl. 1990 I, p. 2954), dans sa version applicable au litige au principal (ci-après le « BDSG »), intitulé « Dispositions relatives aux amendes administratives », énonce, à son paragraphe 3 :
« Aucune amende administrative ne peut être infligée aux autorités publiques et autres organismes publics au sens de l’article 2, paragraphe 1[, du BDSG]. »
Le litige au principal et les questions préjudicielles
27 Le 7 mai 2019, le requérant au principal a introduit une demande de protection internationale auprès de l’Office fédéral, lequel l’a rejetée.
28 Pour adopter sa décision de rejet (ci-après la « décision litigieuse »), l’Office fédéral s’est fondé sur le dossier électronique « MARIS » qu’il a établi, lequel contient les données à caractère personnel relatives au requérant au principal.
29 Ce dernier a formé un recours contre la décision litigieuse devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), qui est la juridiction de renvoi dans la présente affaire. Le dossier électronique « MARIS » a alors été transmis à cette juridiction, dans le cadre d’une procédure conjointe au titre de l’article 26 du RGPD, via la boîte postale électronique judiciaire et administrative (Elektronisches Gerichts- und Verwaltungspostfach), laquelle est gérée par un
organisme public faisant partie du pouvoir exécutif.
30 La juridiction de renvoi relève qu’il ressort du considérant 52 de la directive 2013/32 que le traitement des données à caractère personnel effectué par les États membres dans le cadre des procédures d’octroi d’une protection internationale est régi par le RGPD.
31 Cette juridiction doute cependant que la tenue du dossier électronique établi par l’Office fédéral et la transmission, à elle, de ce dossier par la boîte postale électronique judiciaire et administrative soient conformes à ce règlement.
32 D’une part, en ce qui concerne la tenue du dossier électronique, il n’aurait pas été démontré que l’Office fédéral se conforme aux dispositions combinées de l’article 5, paragraphe 1, et de l’article 30 du RGPD. En effet, en dépit d’une demande adressée à cette fin par la juridiction de renvoi, l’Office fédéral n’aurait pas produit un registre des activités de traitement complet relatif à ce dossier. Or, un tel registre aurait dû être établi au moment du traitement des données à caractère
personnel relatives au requérant au principal, à savoir à la date de l’introduction de sa demande de protection internationale. L’Office fédéral devrait être entendu sur la question de sa responsabilité, au titre de l’article 5, paragraphe 2, du RGPD, après que la Cour aura statué sur la présente demande de décision préjudicielle.
33 D’autre part, en ce qui concerne la transmission du dossier électronique via la boîte postale électronique judiciaire et administrative, une telle transmission constituerait un « traitement » des données, au sens de l’article 4, point 2, du RGPD, qui doit être conforme aux principes énoncés à l’article 5 de ce règlement. Or, en méconnaissance de l’article 26 dudit règlement, aucune réglementation nationale ne régirait cette procédure de transmission entre les autorités administratives et les
juridictions en définissant les responsabilités respectives des responsables conjoints du traitement et aucun accord en ce sens n’aurait été produit par l’Office fédéral, et cela en dépit d’une demande adressée à cet effet par la juridiction de renvoi. Cette dernière se pose ainsi la question de la licéité de ce transfert des données via la boîte postale électronique judiciaire et administrative.
34 En particulier, il conviendrait, selon la juridiction de renvoi, de déterminer si la méconnaissance des obligations prévues aux articles 5, 26 et 30 du RGPD, dont découlerait l’illicéité du traitement des données personnelles, doit être sanctionnée par l’effacement de ces données, conformément à l’article 17, paragraphe 1, sous d), de ce règlement, ou par une limitation du traitement, conformément à l’article 18, paragraphe 1, sous b), dudit règlement. De telles sanctions devraient, à tout le
moins, être envisagées dans le cas d’une demande de la personne concernée. À défaut, cette juridiction se verrait contrainte de participer à un traitement illicite desdites données dans le cadre de la procédure juridictionnelle. Dans un tel cas, seule l’autorité de contrôle pourrait intervenir, en application de l’article 58 du RGPD, en infligeant aux autorités publiques concernées une amende administrative, en vertu de l’article 83, paragraphe 5, sous a), de ce règlement. Toutefois, conformément
à l’article 43, paragraphe 3, du BDSG, lequel transpose l’article 83, paragraphe 7, dudit règlement, aucune amende administrative ne pourrait, au niveau national, être infligée aux autorités publiques et autres organismes publics. Il s’ensuivrait que ni la directive 2013/32 ni le RGPD ne seraient respectés.
35 Par ailleurs, la juridiction de renvoi estime que le traitement en cause au principal ne relève pas de l’article 17, paragraphe 3, sous e), du RGPD, lequel permet l’utilisation de données à caractère personnel aux fins de la constatation, de l’exercice ou de la défense de droits en justice par la partie défenderesse. Certes, en l’occurrence, les données seraient utilisées par l’Office fédéral pour respecter, conformément à l’article 17, paragraphe 3, sous b), de ce règlement, une obligation
légale qui requiert le traitement, prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Toutefois, si cette disposition était appliquée, cela reviendrait à légaliser durablement une pratique contraire à la législation portant sur la protection des données.
36 Cette juridiction se demande, dès lors, dans quelle mesure elle peut, dans le cadre de son activité juridictionnelle, prendre en compte les données à caractère personnel fournies dans le cadre d’une telle procédure relevant du pouvoir exécutif. En effet, si la tenue du dossier électronique ou sa transmission par la boîte postale électronique judiciaire et administrative devait être qualifiée de traitement illicite au regard du RGPD, ladite juridiction participerait, par une telle prise en compte,
au traitement illicite en cause, ce qui irait à l’encontre de l’objectif poursuivi par ce règlement, qui consiste à protéger les libertés et les droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
37 À cet égard, la juridiction de renvoi se demande encore si la circonstance que la personne concernée a donné son consentement exprès ou s’oppose à l’utilisation de ses données personnelles dans le cadre d’une procédure juridictionnelle est susceptible d’influer sur la possibilité d’une prise en compte de ces données. Dans le cas où cette juridiction ne pourrait pas prendre en compte les données contenues dans le dossier électronique « MARIS » en raison des illégalités entachant la tenue et la
transmission de ce dossier, aucune base juridique n’existerait, dans l’attente d’une régularisation éventuelle de ces illégalités, pour prendre une décision sur la demande du requérant au principal visant à lui octroyer le statut de réfugié. En conséquence, ladite juridiction devrait annuler la décision litigieuse.
38 Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) Le manquement du responsable du traitement à tout ou partie de la responsabilité qui lui incombe conformément à l’article 5 du [RGPD], résultant, par exemple, de l’absence de registre – ou de registre complet – des activités de traitement, au sens de l’article 30 [de ce règlement], ou de l’absence d’accord définissant une procédure conjointe, en application de l’article 26 [dudit règlement], a-t-il pour conséquence que le traitement des données est illicite, au sens de l’article 17,
paragraphe 1, sous d), du RGPD et de l’article 18, paragraphe 1, sous b), [de ce règlement], de sorte que la personne concernée dispose d’un droit à l’effacement ou d’un droit à la limitation du traitement ?
2) En cas de réponse affirmative à la première question : [l]’existence d’un droit à l’effacement ou d’un droit à la limitation du traitement a-t-elle pour conséquence que les données traitées ne peuvent être prises en compte dans le cadre d’une procédure juridictionnelle ? Cette conséquence s’applique–t–elle en tout cas lorsque la personne concernée s’oppose à leur utilisation dans le cadre de la procédure juridictionnelle ?
3) En cas de réponse négative à la première question : [l]a violation des articles 5, 30 ou 26 du RGPD par un responsable du traitement a-t-elle pour conséquence, s’agissant de la question de l’utilisation du traitement des données dans le cadre d’une procédure juridictionnelle, qu’une juridiction nationale n’est autorisée à prendre ces données en compte que si la personne concernée consent expressément à cette utilisation ? »
Sur les questions préjudicielles
Sur la recevabilité
39 Sans formellement soulever une exception d’irrecevabilité, le gouvernement allemand exprime des doutes quant à la pertinence des questions préjudicielles pour l’issue du litige au principal. Tout d’abord, il ressortirait de la décision de renvoi que la méconnaissance, par l’Office fédéral, de l’article 5, paragraphe 2, du RGPD n’est pas définitivement établie, la juridiction de renvoi se bornant à présumer celle-ci. Ensuite, cette juridiction n’aurait pas exposé que les dossiers de l’Office
fédéral, à supposer qu’elle ne soit pas autorisée à les utiliser, seraient seuls décisifs pour la solution de ce litige. En effet, elle disposerait également d’autres sources d’informations, lesquelles, en vertu du principe de l’instruction d’office, devraient être pleinement exploitées lorsqu’une autorité ne présente pas de dossiers ou que ceux-ci sont incomplets. Enfin, la troisième question serait manifestement hypothétique, puisqu’il ne ressortirait pas de la décision de renvoi que le
requérant au principal aurait consenti ou consentirait à l’exploitation du traitement de ses données personnelles par la juridiction de renvoi.
40 Il convient de rappeler que, en vertu d’une jurisprudence constante de la Cour, les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que lorsqu’il apparaît manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, que la Cour ne dispose pas des éléments de droit ou de fait
nécessaires pour répondre de façon utile aux questions qui lui sont posées ou que le problème est de nature hypothétique. De plus, dans le cadre de la procédure visée à l’article 267 TFUE, fondée sur une nette séparation des fonctions entre les juridictions nationales et la Cour, le juge national est seul compétent pour constater et apprécier les faits du litige au principal (voir, notamment, arrêt du 24 mars 2022, Autoriteit Persoonsgegevens, C‑245/20, EU:C:2022:216, points 20 et 21 ainsi que
jurisprudence citée).
41 Ainsi qu’il ressort clairement du deuxième alinéa de l’article 267 TFUE, dans le cadre de la coopération étroite entre les juridictions nationales et la Cour, fondée sur une répartition de fonctions entre elles, c’est à la juridiction de renvoi qu’il incombe de décider à quel stade de la procédure il y a lieu, pour cette juridiction, de déférer une question préjudicielle à la Cour (arrêt du 17 juillet 2008, Coleman, C‑303/06, EU:C:2008:415, point 29 et jurisprudence citée).
42 En particulier, la Cour a déjà jugé, à cet égard, que la circonstance que des questions factuelles n’ont pas encore fait l’objet d’une procédure contradictoire d’administration de la preuve n’est pas, en tant que telle, de nature à rendre irrecevable une question préjudicielle (voir, en ce sens, arrêt du 11 septembre 2014, Österreichischer Gewerkschaftsbund, C‑328/13, EU:C:2014:2197, point 19 et jurisprudence citée).
43 Or, en l’occurrence, même s’il ressort de la demande de décision préjudicielle que la juridiction de renvoi n’a pas définitivement statué sur l’existence d’une violation, par l’Office fédéral, des obligations lui incombant en vertu de l’article 5, paragraphe 2, du RGPD, lu conjointement avec les articles 26 et 30 de ce règlement, cet aspect du litige au principal devant encore, selon les indications fournies dans cette demande, faire l’objet d’un débat contradictoire, il demeure que cette
juridiction a constaté que ni l’accord relatif au traitement conjoint des données ni le registre des activités de traitement, visés par ces deux dernières dispositions, n’ont été produits par l’Office fédéral en tant que responsable du traitement, et cela en dépit de la demande qu’elle lui a adressée à cette fin.
44 Par ailleurs, il ressort de la décision de renvoi que, de l’avis de ladite juridiction, à laquelle seule incombe la tâche de constater et d’apprécier les faits, la décision litigieuse a été adoptée sur le seul fondement du dossier électronique établi par l’Office fédéral, dont la tenue et la transmission pourraient méconnaître les règles énoncées par ledit règlement, si bien que cette décision pourrait devoir être annulée pour ce motif.
45 Enfin, quant au consentement du requérant au principal à l’utilisation de ses données à caractère personnel dans le cadre de la procédure juridictionnelle, il suffit de relever que la troisième question préjudicielle vise précisément à déterminer s’il est nécessaire, en l’occurrence, qu’un tel consentement soit exprimé pour que la juridiction de renvoi soit autorisée à prendre ces données en considération.
46 Dans ces conditions, dès lors que la Cour se trouve ainsi saisie d’une demande d’interprétation du droit de l’Union qui n’est manifestement pas sans rapport avec la réalité ou l’objet du litige au principal et qu’elle dispose des données nécessaires pour répondre de façon utile aux questions qui lui sont posées relatives à l’incidence du RGPD sur le litige au principal, elle doit y répondre sans avoir à s’interroger elle-même sur la présomption de faits sur laquelle s’est fondée la juridiction de
renvoi, présomption qu’il appartiendra à celle-ci de vérifier par la suite si cela s’avère nécessaire (voir, par analogie, arrêt du 17 juillet 2008, Coleman, C‑303/06, EU:C:2008:415, point 31 et jurisprudence citée).
47 En conséquence, il convient de considérer que la présente demande de décision préjudicielle est recevable et de répondre aux questions posées par la juridiction de renvoi, étant entendu qu’il incombe toutefois à cette dernière de vérifier si l’Office fédéral a méconnu les obligations prévues aux articles 26 et 30 du RGPD.
Sur le fond
Sur la première question
48 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du RGPD doivent être interprétés en ce sens que la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, constitue un
traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance implique une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement.
49 Selon la jurisprudence constante de la Cour, il y a lieu, pour l’interprétation d’une disposition du droit de l’Union, de tenir compte non seulement des termes de celle-ci, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs de la réglementation dont elle fait partie (voir en ce sens, notamment, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 32 et jurisprudence citée).
50 En ce qui concerne, en premier lieu, le libellé des dispositions du droit de l’Union pertinentes, il convient de rappeler que, conformément à l’article 17, paragraphe 1, sous d), du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais lorsque celles-ci ont fait l’objet d’un « traitement
illicite ».
51 De même, en vertu de l’article 18, paragraphe 1, sous b), du RGPD, la personne concernée, si elle s’oppose à l’effacement de telles données et exige à la place la limitation de leur utilisation, a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque le « traitement est illicite ».
52 Les dispositions mentionnées aux deux points précédents doivent être lues conjointement avec l’article 5, paragraphe 1, de ce règlement, selon lequel le traitement des données à caractère personnel doivent respecter un certain nombre de principes qui sont énoncés à cette disposition, parmi lesquels celui figurant à l’article 5, paragraphe 1, sous a), dudit règlement, lequel précise que les données à caractère personnel doivent être traitées « de manière licite, loyale et transparente au regard de
la personne concernée ».
53 Aux termes du paragraphe 2 de l’article 5 du RGPD, le responsable du traitement, conformément au principe de « responsabilité » énoncé à cette disposition, est responsable du respect du paragraphe 1 de cet article et doit être en mesure de démontrer qu’il respecte chacun des principes énoncés à ce paragraphe 1, une telle preuve étant ainsi mise à sa charge [voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), C‑175/20,
EU:C:2022:124, points 77, 78 et 81].
54 Il s’ensuit que, en application du paragraphe 2 de l’article 5 dudit règlement, lu en combinaison avec le paragraphe 1, sous a), de cet article, le responsable du traitement doit s’assurer du caractère « licite » du traitement des données qu’il effectue.
55 Or, il y a lieu de constater que la licéité du traitement fait précisément l’objet, ainsi qu’il ressort de son intitulé même, de l’article 6 du RGPD, lequel prévoit que le traitement n’est licite que si au moins l’une des conditions énoncées au paragraphe 1, premier alinéa, sous a) à f), de cet article est remplie, à savoir, ainsi qu’il ressort également du considérant 40 de ce règlement, soit que la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou
plusieurs finalités spécifiques, soit que le traitement est nécessaire à l’une des finalités visées, lesquelles portent, respectivement, sur l’exécution d’un contrat auquel la personne concernée est partie ou de mesures précontractuelles prises à la demande de celle-ci, le respect d’une obligation légale à laquelle le responsable du traitement est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, l’exécution d’une mission d’intérêt public ou
relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ainsi que les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
56 Cette liste des cas dans lesquels un traitement des données à caractère personnel peut être considéré comme licite est exhaustive et limitative, de sorte que, pour qu’il puisse être considéré comme étant licite, un traitement doit relever de l’un des cas prévus à l’article 6, paragraphe 1, premier alinéa, du RGPD [voir, en ce sens, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 99 et jurisprudence citée, ainsi que du 8 décembre 2022,
Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale), C‑180/21, EU:C:2022:967, point 83].
57 Ainsi, selon la jurisprudence de la Cour, tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité),
C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56].
58 Par ailleurs, dans la mesure où les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II de ce règlement, lequel est relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, dudit règlement, le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la
jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions [voir, en ce sens, arrêts du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, points 72 à 75, ainsi que du 22 juin 2021, Latvijas Republikas Saeima (Points de
pénalité), C‑439/19, EU:C:2021:504, points 100, 102 et 106].
59 Or, il convient de constater, à l’instar de tous les gouvernements ayant déposé des observations écrites ainsi que de la Commission européenne, que le respect, par le responsable du traitement, de l’obligation de conclure un accord déterminant la responsabilité conjointe du traitement, prévue à l’article 26 du RGPD, et de celle de tenir un registre des activités de traitement, édictée à l’article 30 de ce règlement, ne figure pas parmi les motifs de licéité du traitement énoncés à l’article 6,
paragraphe 1, premier alinéa, dudit règlement.
60 En outre, à la différence des articles 7 à 11 du RGPD, les articles 26 et 30 de ce règlement n’ont pas pour objet de préciser la portée des exigences énoncées à l’article 5, paragraphe 1, sous a), et à l’article 6, paragraphe 1, dudit règlement.
61 Il se déduit, dès lors, du libellé même de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, premier alinéa, du RGPD que la violation par le responsable du traitement des obligations prévues aux articles 26 et 30 de ce règlement ne constitue pas un « traitement illicite », au sens de l’article 17, paragraphe 1, sous d), et de l’article 18, paragraphe 1, sous b), dudit règlement, qui découlerait de la violation par celui-ci du principe de « responsabilité » tel qu’énoncé à
l’article 5, paragraphe 2, du même règlement.
62 Cette interprétation est corroborée, en deuxième lieu, par le contexte dans lequel s’inscrivent ces différentes dispositions. En effet, il ressort clairement de la structure même du RGPD et, partant, de son économie que celui-ci distingue entre, d’une part, les « principes », faisant l’objet de son chapitre II, lequel comporte, notamment, les articles 5 et 6 de ce règlement, et, d’autre part, les « obligations générales », faisant partie de la section 1 du chapitre IV dudit règlement relatif aux
responsables du traitement, parmi lesquelles figurent les obligations visées aux articles 26 et 30 du même règlement.
63 Cette distinction est, par ailleurs, reflétée au chapitre VIII du RGPD relatif aux sanctions, les violations des articles 26 et 30 de ce règlement, d’une part, et celles des articles 5 et 6 de celui-ci, d’autre part, faisant l’objet, respectivement, aux paragraphes 4 et 5 de l’article 83 dudit règlement, d’amendes administratives pouvant s’élever jusqu’à un certain montant, qui est différent selon le paragraphe concerné en raison du niveau de gravité de ces violations respectives qui est reconnu
par le législateur de l’Union.
64 En troisième et dernier lieu, l’interprétation littérale du RGPD exposée au point 61 du présent arrêt est confortée par l’objectif poursuivi par ce règlement, ressortant de son article 1er ainsi que de ses considérants 1 et 10, qui consiste, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier, de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1,
de la charte des droits fondamentaux de l’Union européenne et à l’article 16, paragraphe 1, TFUE (voir, en ce sens, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 125 et jurisprudence citée).
65 En effet, l’absence d’un accord déterminant la responsabilité conjointe, en application de l’article 26 du RGPD, ou d’un registre des activités de traitement, au sens de l’article 30 de ce règlement, ne suffit pas à établir, par elle-même, l’existence d’une atteinte au droit fondamental à la protection des données à caractère personnel. En particulier, s’il est vrai que, ainsi qu’il ressort des considérants 79 et 82 de celui-ci, la répartition claire des responsabilités entre les responsables
conjoints du traitement et le registre des activités de traitement constituent des moyens d’assurer le respect, par ces responsables, des garanties prévues par ledit règlement pour la protection des droits et libertés des personnes concernées, il n’en demeure pas moins que l’absence d’un tel registre ou d’un tel accord ne démontre pas, en elle-même, que ces droits et ces libertés ont été violés.
66 Il en résulte qu’une violation des articles 26 et 30 du RGPD par le responsable du traitement ne constitue pas un « traitement illicite », au sens de l’article 17, paragraphe 1, sous d), ou de l’article 18, paragraphe 1, sous b), de ce règlement, lus en combinaison avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de celui-ci, conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement.
67 Ainsi que tous les gouvernements ayant déposé des observations écrites et la Commission l’ont fait valoir, il doit donc être remédié à une telle violation par le recours à d’autres mesures prévues par le RGPD, telles que l’adoption, par l’autorité de contrôle, de « mesures correctrices », au sens de l’article 58, paragraphe 2, de ce règlement, notamment, conformément au point d) de cette disposition, la mise en conformité des opérations de traitement, le dépôt d’une réclamation auprès de
l’autorité de contrôle, conformément à l’article 77, paragraphe 1, de ce règlement, ou la réparation du dommage éventuellement causé par le responsable du traitement, en vertu de l’article 82 de celui-ci.
68 Enfin, compte tenu des préoccupations exprimées par la juridiction de renvoi, il convient encore de préciser que la circonstance selon laquelle, en l’occurrence, l’infliction d’une amende administrative, en vertu de l’article 58, paragraphe 2, sous i), et de l’article 83 du RGPD, serait exclue dès lors que le droit national interdit une telle sanction à l’égard de l’Office fédéral, n’est pas de nature à empêcher une application effective de ce règlement. En effet, il suffit de relever, à cet
égard, que l’article 83, paragraphe 7, dudit règlement confère expressément la faculté aux États membres de prévoir si et dans quelle mesure de telles amendes peuvent être imposées à des autorités publiques ou à des organismes publics. Au demeurant, les différentes mesures alternatives prévues par le RGPD, rappelées au point précédent, permettent d’assurer une telle application effective.
69 En conséquence, il convient de répondre à la première question que l’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du RGPD doivent être interprétés en ce sens que la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, ne constitue pas un
traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.
Sur la deuxième question
70 Eu égard à la réponse apportée à la première question, il n’y a pas lieu de répondre à la deuxième question.
Sur la troisième question
71 Par sa troisième question, la juridiction de renvoi demande, en substance, si le droit de l’Union doit être interprété en ce sens que, lorsque le responsable du traitement de données à caractère personnel a méconnu les obligations lui incombant en vertu des articles 26 ou 30 du RGPD, la licéité de la prise en compte de telles données par une juridiction nationale est subordonnée au consentement de la personne concernée.
72 À cet égard, il y a lieu de constater qu’il ressort clairement du libellé même du premier alinéa du paragraphe 1 de l’article 6 de ce règlement que le consentement de la personne concernée, visé au point a) de cet alinéa, ne constitue que l’un des motifs de licéité du traitement, un tel consentement n’étant, en revanche, pas exigé par les autres motifs de licéité énoncés aux points b) à f) dudit alinéa, tirés, en substance, de la nécessité du traitement pour la réalisation de finalités
déterminées (voir, par analogie, arrêt du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, point 41).
73 Or, lorsqu’une juridiction exerce les compétences juridictionnelles lui ayant été conférées par le droit national, le traitement de données à caractère personnel que cette juridiction est amenée à effectuer doit être considéré comme étant nécessaire à la finalité énoncée à l’article 6, paragraphe 1, premier alinéa, sous e), dudit règlement, relative à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
74 Dès lors que, d’une part, il suffit que l’une des conditions posées à l’article 6, paragraphe 1, du RGPD soit remplie pour qu’un traitement de données à caractère personnel puisse être considéré comme licite, et que, d’autre part, ainsi qu’il a été conclu au point 61 du présent arrêt, la méconnaissance des articles 26 et 30 de ce règlement ne constitue pas un traitement illicite, la prise en compte, par la juridiction de renvoi, de données à caractère personnel qui auraient été traitées par
l’Office fédéral en violation des obligations prévues à ces derniers articles n’est pas subordonnée au consentement de la personne concernée.
75 En conséquence, il convient de répondre à la troisième question que le droit de l’Union doit être interprété en ce sens que, lorsque le responsable du traitement de données à caractère personnel a méconnu les obligations lui incombant en vertu des articles 26 ou 30 du RGPD, la licéité de la prise en compte de telles données par une juridiction nationale n’est pas subordonnée au consentement de la personne concernée.
Sur les dépens
76 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (cinquième chambre) dit pour droit :
1) L’article 17, paragraphe 1, sous d), et l’article 18, paragraphe 1, sous b), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doivent être interprétés en ce sens que :
la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement, relatives, respectivement, à la conclusion d’un accord déterminant la responsabilité conjointe du traitement et à la tenue d’un registre des activités de traitement, ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement, dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation
par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.
2) Le droit de l’Union doit être interprété en ce sens que, lorsque le responsable du traitement de données à caractère personnel a méconnu les obligations lui incombant en vertu des articles 26 ou 30 du règlement 2016/679, la licéité de la prise en compte de telles données par une juridiction nationale n’est pas subordonnée au consentement de la personne concernée.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : l’allemand.
