CONCLUSIONS DE L’AVOCATE GÉNÉRALE
MME LAILA MEDINA
présentées le 8 juin 2023 ( 1 )
Affaire C‑231/22
État belge
contre
Autorité de protection des données
en présence de
LM
[demande de décision préjudicielle formée par la cour d’appel de Bruxelles (Belgique)]
« Renvoi préjudiciel – Règlement (UE) 2016/679 – Article 4, points 7 et 8 – Traitement de données à caractère personnel – Notions de “responsable du traitement” et de “sous-traitant” – Détermination de la finalité et des moyens du traitement des données – Obligation de désignation par le droit national – Journal officiel – Publication d’un acte relevant du droit des sociétés préparé par un notaire – Demande de retrait – Marge d’appréciation – Immutabilité – Article 5, paragraphe 2 – Responsables du
traitement successifs – Obligations distinctes d’entités distinctes »
1. Les Acta Diurna étaient des avis officiels romains gravés quotidiennement dans la pierre ou le métal et affichés dans des lieux publics tels que le forum de Rome. À l’ère numérique, la question à laquelle les autorités nationales peuvent être confrontées est celle de savoir si les données publiées dans le journal officiel d’un pays donné sont également gravées dans la pierre, métaphoriquement parlant, ou si elles peuvent être effacées ou modifiées.
2. La procédure au principal trouve son origine dans la publication de données par le journal officiel de la Belgique – le Moniteur belge –, où des documents officiels sont publiés sur papier et de manière électronique.
3. Le litige au principal oppose l’État belge à l’Autorité de protection des données (Belgique) (ci-après l’« APD »). Après avoir constaté qu’un passage d’une décision d’une société, qui avait été authentifié par un notaire et contenait, outre les données requises par la loi belge, des données personnelles d’une personne physique, avait été publié par erreur, le délégué à la protection des données (ci-après le « DPD ») du notaire a demandé au Moniteur belge de supprimer ces données. Cependant, le
Service public fédéral Justice (Belgique) (ci‑après le « SPF Justice »), qui est l’autorité de gestion du Moniteur belge, a refusé d’accéder à cette demande.
4. Dans ce contexte, les questions posées par la cour d’appel de Bruxelles (Belgique) dans sa demande de décision préjudicielle ont une portée assez réduite. La juridiction de renvoi demande, en substance, si le Moniteur belge ou le SPF Justice doivent être considérés comme des « responsables du traitement » au sens de l’article 4, point 7, du règlement (UE) 2016/679 (ci-après le « RGPD ») ( 2 ). En cas de réponse affirmative à cette question, la juridiction de renvoi interroge aussi la Cour sur les
limites des obligations d’un responsable du traitement lorsque le traitement est effectué par des entités successives.
I. Le cadre juridique
A. Le droit de l’Union
5. Dans le chapitre I du RGPD, intitulé « Dispositions générales », l’article 4 de celui-ci définit notamment les termes suivants : « données à caractère personnel », « traitement », « responsable du traitement » et « sous-traitant ».
6. Sont pertinents dans le cadre de la présente affaire les articles 5, 6, 17 et 26 du RGPD.
B. Le droit belge
1. Le code des sociétés
7. L’article 67, §§ 1er et 2, de la loi du 7 mai 1999 contenant le code des sociétés ( 3 ) (ci-après le « code des sociétés ») disposait :
« § 1er. Les expéditions des actes authentiques, les doubles ou les originaux des actes sous signature privée et les extraits, sous forme électronique ou non, dont les articles suivants prescrivent le dépôt ou la publication sont déposés au greffe du tribunal de l’entreprise dans le ressort territorial duquel la société a son siège social.
[...]
§ 2. Les pièces déposées sont conservées dans le dossier qui est tenu à ce greffe pour chaque société et les sociétés en question sont inscrites au registre des personnes morales, répertoire de la Banque-Carrefour des Entreprises. »
8. L’article 71 de ce code énonçait :
« L’extrait des actes des sociétés est signé pour les actes authentiques, par les notaires, et pour les actes sous signature privée, par tous les associés solidaires ou par l’un d’entre eux, investi à cet effet par les autres d’un mandat spécial. »
9. L’article 73 dudit code disposait :
« La publication a lieu dans les annexes du Moniteur belge dans les quinze jours du dépôt, à peine de dommages-intérêts contre les fonctionnaires auxquels l’omission ou le retard serait imputable.
[...] »
10. Aux termes de l’article 74, alinéa 1er, du même code :
« Sont déposés et publiés conformément aux articles précédents :
1° les actes apportant changement aux dispositions dont le présent code prescrit la publication [...] »
2. L’arrêté royal du 30 janvier 2001
11. L’article 1er de l’arrêté royal du 30 janvier 2001 portant exécution du code des sociétés ( 4 ) prévoyait :
« [...] les greffiers des tribunaux de commerce reçoivent le dépôt de tous les actes, extraits d’actes, procès-verbaux et documents dont la publicité est ordonnée par le Code des sociétés [...] »
12. L’article 11 de l’arrêté royal du 30 janvier 2001 disposait :
« § 1er. Les actes, extraits d’actes et documents, dont la publication est requise aux annexes du Moniteur belge, sont [...] déposés au greffe accompagnés d’une copie. [...]
§ 2. Tout document de papier déposé doit remplir les conditions suivantes :
[...]
6° être signé selon le cas par le notaire instrumentant ou par des personnes ayant pouvoir de représenter la personne morale à l’égard des tiers, en mentionnant le nom et la qualité des signataires ;
[...]
§ 3. Les copies destinées au Moniteur belge des actes, extraits d’actes et documents visés aux articles 67, 68, 74, [...] du Code des sociétés [...] sont présentées sans correction ni rature.
[...] »
13. L’article 14 de l’arrêté royal du 30 janvier 2001 est rédigé comme suit :
« Le greffier adresse à la direction du Moniteur belge, au plus tard le deuxième jour ouvrable qui suit celui du dépôt, les copies des actes, extraits d’actes et documents [...] qu’il a reçus et qui doivent être publiés aux annexes du Moniteur belge.
[...] »
14. L’article 16 de l’arrêté royal du 30 janvier 2001 prévoit :
« Lorsqu’il y a lieu à publication, elle se fait par la voie des annexes du Moniteur belge dans les délais que la loi détermine. »
3. La loi-programme (I) du 24 décembre 2002
15. L’article 472 de la loi-programme du 24 décembre 2002 ( 5 ) dispose :
« Le Moniteur belge est une publication officielle éditée par la direction du Moniteur belge, qui rassemble tous les textes pour lesquels la publication au Moniteur belge est ordonnée. »
16. L’article 474 de la loi-programme du 24 décembre 2002 dispose :
« La publication au Moniteur belge par la direction du Moniteur belge se fait en trois exemplaires imprimés sur papier.
[...]
Un exemplaire est conservé électroniquement. Le Roi détermine les modalités de la conservation électronique [...] »
17. L’article 475 de la loi-programme du 24 décembre 2002 est libellé comme suit :
« Toute autre mise à disposition du public est réalisée par l’intermédiaire du site Internet de la direction du Moniteur belge.
Les publications mises à disposition sur ce site Internet sont les reproductions exactes dans un format électronique des exemplaires sur papier prévus à l’article 474. »
18. Aux termes de l’article 475 bis de la loi-programme du 24 décembre 2002 :
« Tout citoyen peut obtenir à prix coûtant auprès des services du Moniteur belge, par le biais d’un service d’aide téléphonique gratuit, une copie des actes et documents publiés au Moniteur belge. Ce service est également chargé de fournir aux citoyens un service d’aide à la recherche de documents. »
19. Aux termes de l’article 475 ter de cette loi-programme :
« D’autres mesures d’accompagnement sont prises par arrêté royal délibéré en Conseil des ministres afin d’assurer la diffusion et l’accès les plus larges possibles aux informations contenues dans le Moniteur belge. »
II. Les faits, la procédure et les questions préjudicielles
20. LM est actionnaire majoritaire de Bureau LM, une société privée à responsabilité limitée de droit belge.
21. Le 23 janvier 2019, cette société a tenu une assemblée générale au cours de laquelle il a été décidé de réduire son capital et de modifier les statuts de la société à cet effet.
22. Conformément aux règles législatives en matière de publicité, un notaire a préparé un extrait de la décision. Le 12 février 2019, le notaire a déposé l’extrait au greffe du tribunal de l’entreprise néerlandophone de Bruxelles (Belgique) aux fins de sa publication officielle au Moniteur belge.
23. Le 22 février 2019, cet extrait a été publié dans les annexes du Moniteur belge. En particulier, il contenait la décision de réduire le capital de la société, le montant initial du capital, le montant de la réduction, le nouveau montant du capital social et le nouveau texte des statuts. Outre les mentions requises par la loi, l’extrait en cause indiquait les noms des deux associés de la société en question, les montants qui leur ont été remboursés ainsi que leurs numéros de compte bancaire
(ci-après le « passage litigieux »), informations dont la publication n’était pas exigée par la loi.
24. Ayant constaté que le notaire avait commis une erreur en incluant le passage litigieux dans l’extrait publié, le DPD du notaire a, en invoquant l’article 17 du RGPD, demandé au SPF Justice de supprimer le passage litigieux et de publier à nouveau l’extrait, mais sans ledit passage cette fois.
25. Le 10 avril 2019, le SPF Justice a refusé d’accéder à cette demande ( 6 ) et a offert de réaliser une nouvelle publication de l’extrait expurgé du passage litigieux, tout en laissant intacte la publication initiale du 22 février 2019.
26. Le 21 janvier 2020, LM – l’un des deux associés de la société concernée – a déposé plainte auprès de l’APD contre le Moniteur belge (SPF Justice), en alléguant des manquements à l’article 5 (en particulier, au principe de minimisation), à l’article 6 (traitement de données à caractère personnel) et à l’article 17 (droit à l’effacement) du RGPD.
27. Par décision du 23 mars 2021, l’APD a accueilli la plainte et ordonné, en substance, que le passage litigieux soit effacé.
28. Le 22 avril 2021, l’État belge a introduit un recours contre cette décision devant la cour d’appel de Bruxelles – la juridiction de renvoi –, en demandant l’annulation de cette décision. LM est intervenu dans le litige.
29. La juridiction de renvoi relève que les parties s’opposent sur l’interprétation à donner à la notion de « responsable du traitement » définie à l’article 4, point 7, du RGPD. Elle note que, après avoir reçu l’extrait litigieux du tribunal de l’entreprise néerlandophone de Bruxelles, le Moniteur belge, conformément aux dispositions régissant son statut et ses missions, a publié ce texte tel quel, c’est‑à‑dire sans pouvoir le réviser ou le modifier. En particulier, la juridiction de renvoi demande
si chacune des entités successives potentielles ou l’une d’entre elles seulement doit être qualifiée de « responsable du traitement » au sens de cet article et, partant, comme responsable, en vertu de l’article 5, paragraphe 2, du RGPD, du respect des principes énoncés à l’article 5, paragraphe 1, de ce règlement.
30. À cet égard, cette juridiction se demande si une telle notion de responsabilité successive ou ultérieure est consacrée par le RGPD. Pour le cas où le Moniteur belge serait considéré comme le destinataire des données au sens de l’article 4, point 9, de ce règlement, elle se demande si ce journal officiel est, à son tour, intervenu en qualité de responsable « ultérieur » du traitement. Toutefois, cela ne semble pas être le cas puisque, en vertu du droit belge applicable, le Moniteur belge n’est
pas en mesure de définir les moyens et les finalités du traitement qu’il effectue, au sens de l’article 4, point 7, du RGPD.
31. C’est dans ce contexte que la cour d’appel de Bruxelles a posé à la Cour les questions suivantes :
« 1) L’article 4, point 7, du [RGPD] doit-il être interprété en ce sens qu’un journal officiel d’un État membre – investi d’une mission de service public de publication et d’archivage de documents officiels, qui, en vertu de la législation nationale applicable, est chargé de publier les actes et documents officiels dont la publication lui est ordonnée par des instances publiques tierces, tels qu’ils sont communiqués par ces instances après qu’elles ont elles-mêmes traité des données à caractère
personnel contenues dans ces actes et documents, sans être investies par le législateur national d’un pouvoir d’appréciation quant au contenu des documents à publier, et quant à la finalité et aux moyens de la publication – revêt la qualité de responsable du traitement ?
2) En cas de réponse positive à la première question, l’article 5, paragraphe 2, du [RGPD] doit-il être interprété en ce sens que le journal officiel en question doit être seul tenu du respect des obligations pesant sur le responsable du traitement aux termes de cette disposition, à l’exclusion des instances publiques tierces ayant traité préalablement les données figurant dans les actes et documents officiels dont elles lui demandent la publication, ou ces obligations reposent-elles de manière
cumulative sur chacun des responsables de traitement successifs ? »
32. L’APD, les gouvernements belge et hongrois ainsi que la Commission européenne ont déposé des observations écrites.
33. À l’audience du 23 mars 2023, l’APD, le gouvernement belge et la Commission ont comparu devant la Cour.
III. Analyse
A. La première question préjudicielle
34. Par sa première question, la juridiction de renvoi demande, en substance, si l’article 4, point 7, du RGPD doit être interprété en ce sens que le journal officiel d’un État membre a la qualité de responsable du traitement. Je devrais tout d’abord faire deux observations sur la manière dont cette question est formulée.
35. Premièrement, il ressort de la décision de renvoi que le code des sociétés prévoit l’obligation pour les sociétés de faire publier divers documents et décisions dans les annexes du Moniteur belge. La juridiction de renvoi constate également que le Moniteur belge relève du SPF Justice, sans que ce point soit explicité davantage. Puisque la répartition des pouvoirs entre les autorités nationales d’un État membre relève des règles de droit interne, je ferai, dans les présentes conclusions,
uniquement référence au Moniteur belge.
36. Deuxièmement, il me faut faire remarquer que, dans sa question, la juridiction de renvoi insère un passage entre tirets cadratins qui semble expliciter les pouvoirs conférés au Moniteur belge par le législateur belge.
37. Par conséquent, cette question pourrait être reformulée de manière à porter, en substance, sur le point de savoir si le journal officiel d’un État membre qui, tel le Moniteur belge, est investi, en vertu de la réglementation nationale applicable, de la mission de publier et d’archiver des documents officiels peut être considéré comme un responsable du traitement au sens de l’article 4, point 7, du RGPD lorsque des entités tierces lui ordonnent de publier ces documents tels qu’elles les
communiquent, que ces entités ont elles-mêmes traité les données à caractère personnel contenues dans ces documents, et que ce journal officiel ne dispose d’aucun pouvoir d’appréciation en ce qui concerne le contenu des documents à publier, ou la finalité et les moyens de cette publication.
38. Afin de répondre à cette question, il me faut d’emblée relever que la notion de « responsable du traitement » est définie par l’article 4, point 7, du RGPD, comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement
peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ». Il ressort de cette disposition, lorsqu’elle est lue conjointement avec l’article 5, paragraphe 1, de ce règlement, qui énonce les principes relatifs au traitement des données à caractère personnel, que chaque étape du traitement des données nécessite l’existence d’un responsable du traitement ( 7 ). Ainsi, lorsque des données à caractère
personnel sont traitées, il devrait toujours y avoir un responsable du traitement, qui est l’acteur clé de la mise en œuvre de la réglementation sur la protection des données ( 8 ), de sorte qu’il est important de déterminer quel est le responsable du traitement à chaque étape de ce dernier ( 9 ). La notion de « responsable du traitement » comprend les personnes tant physiques que morales ainsi que les autorités publiques, services ou autres organismes. Toutefois, il est clair que la
qualification du type d’entité ne soulève pas de difficultés en l’espèce.
39. Avant d’aborder le cœur de la question, à savoir la détermination du contenu de la notion de « responsable du traitement » au sens de l’article 4, point 7, du RGPD, je pense qu’il est important de préciser si les opérations en cause constituent un « traitement » de « données à caractère personnel » au sens de l’article 4, points 2 et 1 respectivement, de ce règlement.
1. « Traitement » de « données à caractère personnel »
40. Premièrement, il y a lieu de rappeler que constitue une « donnée à caractère personnel », au sens de l’article 4, point 1, du RGPD, « toute information se rapportant à une personne physique identifiée ou identifiable », étant entendu que, selon la jurisprudence, cette définition est applicable lorsque, en raison de son contenu, sa finalité ou son effet, l’information est liée à une personne déterminée ( 10 ). En l’espèce, il n’est pas contesté par les parties que les données figurant dans le
passage litigieux, telles que les noms des deux associés de la société et leurs numéros de compte bancaire, constituent des données à caractère personnel. À mon avis, les montants qui ont été remboursés à ces associés ne sont pas nécessairement des données à caractère personnel à part entière. Toutefois, ces montants doivent effectivement être considérés comme des données à caractère personnel lorsqu’ils sont présentés en combinaison avec les noms des personnes qui les ont reçus.
41. Deuxièmement, aux termes de l’article 4, point 2, du RGPD, la notion de « traitement » est définie comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel » telles que, notamment, « la consultation », « l’utilisation », « la communication par transmission », « la diffusion » ou « toute autre forme de mise à disposition » de données à caractère personnel. Ces définitions
reflètent le fait que le législateur de l’Union a entendu attribuer un champ d’application large aux deux notions ( 11 ).
42. Par exemple, dans son arrêt Google Spain, la Cour a affirmé que l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur l’internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel » au sens de l’article 2, sous b), de la directive 95/46/CE ( 12 ) – une disposition
qui correspond, en substance, à celle de l’article 4, point 2, du RGPD –, lorsque ces informations contiennent des « données à caractère personnel » ( 13 ). En outre, la Cour a, dans l’arrêt Fashion ID ( 14 ), indiqué qu’un traitement de données à caractère personnel peut être constitué d’une ou de plusieurs opérations, chacune d’entre elles visant l’un des différents stades que peut contenir un traitement de données à caractère personnel.
43. À mon avis, trois traitements successifs de données à caractère personnel ont eu lieu dans la présente affaire. Le premier traitement est le fait du notaire qui a rédigé le document à publier au Moniteur belge (et qui, ce faisant, a commis l’erreur d’y inclure les données à caractère personnel en cause) et l’a déposé au greffe du tribunal de l’entreprise. Le deuxième est le fait du greffe de ce tribunal, qui a versé ce document au dossier de la société et l’a transmis pour publication au
Moniteur belge. Le troisième traitement a été effectué par le Moniteur belge, qui a non seulement transformé le document de papier en document électronique, mais a également collecté, enregistré, conservé, communiqué et diffusé celui-ci. Selon moi, il ne fait aucun doute que les trois cas, particulièrement les opérations effectuées par le Moniteur belge, constituent chacun un « traitement » au sens de l’article 4, point 2, du RGPD.
44. Toutefois, le fait qu’un traitement ait eu lieu dans ces trois cas n’implique pas nécessairement que le Moniteur belge ait agi en tant que responsable du traitement. En effet, le RGPD, ainsi qu’il ressort de son article 4, points 7 et 8, établit une distinction entre, d’une part, les responsables du traitement et, d’autre part, les sous-traitants. Si le responsable du traitement détermine la finalité et les moyens de celui‑ci ( 15 ), le sous-traitant traite les données à caractère personnel pour
le compte du responsable du traitement ( 16 ). Dès lors, s’il est clair que les trois cas constituent un « traitement » au sens de l’article 4, point 2, de ce règlement, ce constat ne permet pas de conclure si le Moniteur belge – ou une autre entité intervenant dans cette chaîne en trois étapes – a, en l’espèce, la qualité de responsable du traitement.
2. Détermination des finalités et des moyens du traitement des données à caractère personnel
45. La question de savoir si le Moniteur belge a agi en tant que « responsable du traitement » revient, selon moi, à examiner s’il « détermine les finalités et les moyens du traitement » des données à caractère personnel, au sens de l’article 4, point 7, du RGPD.
46. D’emblée, il me faudrait faire observer que, selon la jurisprudence pertinente de la Cour, la notion de « responsable du traitement » doit être définie de manière large. En effet, la Cour a jugé que l’objectif de l’article 4, point 7, du RGPD est d’assurer, par une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées ( 17 ). En outre, « les notions de responsable du traitement et de sous-traitant sont des concepts
fonctionnels : ils visent à répartir les responsabilités en fonction des rôles réels des parties » ( 18 ). Autrement dit, « le responsable du traitement de données à caractère personnel est la personne qui décide pourquoi et comment seront traitées ces données » ( 19 ). Par conséquent, la détermination des responsabilités du responsable du traitement s’appuie sur « une analyse factuelle plutôt que formelle » ( 20 ).
47. Deuxièmement, en précisant « seuls ou conjointement » avec d’autres, l’article 4, point 7, du RGPD reconnaît que « les finalités et les moyens » du traitement des données peuvent être déterminés par plusieurs entités. Toutefois, la mesure dans laquelle deux ou plusieurs acteurs assument conjointement la responsabilité du traitement peut revêtir différentes formes ( 21 ), qui seront examinées dans le cadre de l’analyse de la seconde question.
48. Troisièmement, je fais observer que, en adoptant l’arrêté royal du 25 juin 2020, le Royaume de Belgique a désigné le SPF Justice comme le responsable du traitement au sens de l’article 4, point 7, du RGPD ( 22 ). Toutefois, les faits au principal se sont déroulés avant l’entrée en vigueur de cet arrêté. Il n’est donc pas applicable ratione temporis à la présente affaire. Il s’ensuit que la Cour doit examiner la répartition des compétences et des responsabilités entre les entités nationales telle
qu’elle existait avant l’entrée en vigueur dudit arrêté.
49. Ces précisions liminaires ayant été apportées, j’examine à présent les conditions prévues à l’article 4, point 7, du RGPD, c’est-à-dire la question de savoir laquelle des entités concernées « détermine les finalités et les moyens du traitement » des données à caractère personnel en cause.
a) Désignation implicite du responsable du traitement par le droit national
50. La responsabilité peut être définie par la loi ou découler d’une analyse des éléments ou circonstances factuels de l’espèce ( 23 ). L’article 4, point 7, du RGPD indique que, lorsque les finalités et les moyens du traitement sont, en particulier, déterminés par le droit d’un État membre, le responsable du traitement peut être désigné, ou les critères spécifiques applicables à sa désignation peuvent être prévus, par ce droit interne. Il s’ensuit que, lorsqu’une entité a été spécifiquement
désignée par la loi comme responsable du traitement, cette désignation est déterminante ( 24 ). Or, en l’espèce, aucune disposition spécifique ne désigne expressément un responsable du traitement.
51. Il est également possible que la loi désigne une entité comme responsable du traitement de manière implicite ( 25 ). Par exemple, lorsque la réglementation nationale impose à l’entité concernée l’obligation de conserver ou de fournir certaines données, cette entité serait considérée comme responsable du traitement pour ce qui concerne les opérations nécessaires au respect de cette obligation. Une telle désignation implicite par la réglementation nationale se produit lorsqu’il ressort du rôle,
des missions et des pouvoirs conférés à cette autorité que celle-ci détermine les finalités et les moyens du traitement en question. Dans l’arrêt Manni, la Cour s’est appuyée sur une appréciation des faits pour affirmer que l’autorité chargée de la tenue du registre des sociétés, « en transcrivant et en conservant [les] informations dans le registre et en communiquant celles-ci, le cas échéant, sur demande à des tiers », effectue un « traitement de données à caractère personnel », pour lequel
elle est le « responsable » au sens des définitions fournies à l’article 2, sous b) et d), de la directive 95/46 ( 26 ).
52. En l’espèce, bien que la réglementation nationale n’ait pas expressément désigné un responsable du traitement de données, elle prévoit l’obligation pour les sociétés de publier certains documents dans le Moniteur belge ( 27 ). Ainsi, elle a créé une obligation visant le traitement de données, lequel doit être géré par un responsable du traitement. Le législateur national a conçu un système selon lequel trois entités traitent successivement les données ; toutefois, les parties s’opposent sur le
point de savoir laquelle de ces trois entités est en fait le responsable du traitement ( 28 ). Il est donc nécessaire d’établir quelles sont les compétences spécifiques attribuées à ces entités, afin de déterminer laquelle d’entre celles-ci le législateur a implicitement désignée comme responsable du traitement pour la troisième étape de ce dernier, à savoir les opérations effectuées par le Moniteur belge.
b) La protection efficace et complète des personnes concernées
53. L’article 4, point 7, du RGPD, en utilisant le verbe « déterminer », exige qu’un responsable du traitement influe sur le traitement de données en exerçant un pouvoir de décision ( 29 ). Par exemple, dans une affaire qui concernait le module social « j’aime » du réseau Facebook ( 30 ), la question était de savoir si Fashion ID, une entreprise de vente de vêtements en ligne qui avait inséré ce module social sur son site Internet, déterminait ou non conjointement avec Facebook les moyens de
collecte et de communication par transmission des données à caractère personnel des visiteurs du site Internet de Fashion ID. Dans cette affaire, la Cour a expressément indiqué que, en insérant un tel module social sur son site Internet, Fashion ID influait de manière déterminante sur la collecte et la transmission des données à caractère personnel des visiteurs de ce site au profit du fournisseur de ce module, en l’occurrence Facebook Ireland, qui, en l’absence de l’insertion dudit module,
n’auraient pas lieu ( 31 ). Il s’ensuit que le fait d’influer de manière déterminante sur le traitement des données à caractère personnel implique que l’entité exerçant une telle influence est un responsable du traitement. Toutefois, le fait de ne pas exercer d’influence déterminante ne suffit pas à exclure qu’une entité puisse néanmoins jouir de la qualité de responsable du traitement.
54. En raison des modes de production et de distribution de l’information par voie électronique, la diffusion de données sur l’internet augmente de manière exponentielle les risques de violation des droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel ( 32 ). La Cour, bien consciente de ce risque, a adopté une définition large de la notion de « responsable du traitement » ( 33 ) afin que le RGPD garantisse une protection efficace et complète des
personnes concernées et, notamment, de leur droit au respect de la vie privée ( 34 ). À cette fin, la Cour a, dans l’arrêt Google Spain, dit qu’il serait contraire non seulement au libellé clair, mais également à l’objectif de l’article 2, sous d), de la directive 95/46 – qui correspond, en substance, à l’article 4, point 7, du RGPD – d’exclure de cette disposition l’exploitant d’un moteur de recherche au motif qu’il n’exerce pas de contrôle sur les données à caractère personnel publiées sur les
pages web de tiers ( 35 ). Il est évident que, en adoptant une définition aussi large, la Cour a opté pour une interprétation téléologique de cette disposition : la définition du « responsable du traitement » doit garantir une protection efficace et complète des personnes concernées. Par ailleurs, je précise qu’une telle interprétation ne peut qu’être renforcée par le RGPD qui a été adopté sur le fondement de l’article 16, paragraphe 1, TFUE, lequel habilite le législateur de l’Union à
sauvegarder le droit fondamental à la protection des données à caractère personnel, un droit consacré par l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ( 36 ).
55. En l’espèce, il est évident que le législateur national a conçu un régime comportant trois cas de traitement différents, une chaîne qui débute chez le notaire, lequel rédige et signe les actes concernés, se poursuit au greffe du tribunal de l’entreprise, qui ajoute le document au dossier de la société et le conserve, et se termine par la transformation et la publication numériques de ces documents par le Moniteur belge. S’il est vrai que le Moniteur belge doit publier le document concerné tel
quel, il n’en reste pas moins que ce n’est ni le notaire ni le greffe du tribunal de l’entreprise qui, pour les besoins de sa publication, le transforment en document électronique ; c’est le Moniteur belge seul qui assume cette tâche et diffuse ensuite le document concerné sur l’internet.
56. En particulier, je relève que, en adoptant les articles 474 à 475 ter de la loi‑programme du 24 décembre 2002, le législateur national a conféré certaines compétences au Moniteur belge. Il découle de ces dispositions que le Moniteur belge non seulement publie la version papier des documents concernés, mais aussi les met à disposition sur son site Internet en format électronique, les conserve dans ce format, permet aux citoyens d’y accéder en fournissant un service d’aide téléphonique et un
service d’aide à la recherche de documents et, enfin, assure une diffusion et un accès aussi larges que possible aux informations contenues dans le journal officiel. Dès lors, il résulte, à mon sens, de ces dispositions que le législateur national, en confiant au Moniteur belge des compétences en matière de transformation, publication, diffusion et conservation numériques des documents en question, a conféré à ce journal officiel des pouvoirs relevant de la notion de « responsable du
traitement » au sens de l’article 4, point 7, du RGPD ( 37 ).
57. En effectuant ces opérations qui lui ont été confiées par le législateur, à savoir les transformation, publication et diffusion numériques, le Moniteur belge accroît exponentiellement le risque de violation des droits fondamentaux de l’intéressé (par rapport à la simple publication du document dans sa version papier). C’est le traitement effectué par ce journal officiel qui menace effectivement la protection efficace et complète de la personne concernée. Par conséquent, je ne vois pas d’autre
solution que de considérer que – en raison de l’objectif de garantir la protection efficace et complète des personnes concernées, et en raison du préjudice que la transformation et la diffusion numériques sont susceptibles de causer à ces personnes – le Moniteur belge ne saurait être exclu de la définition de « responsable du traitement » des données au sens de l’article 4, point 7, du RGPD.
58. Enfin, en ce qui concerne l’applicabilité de la jurisprudence relative aux moteurs de recherche privés à des entités publiques telles que le Moniteur belge, il faut noter que, dans un arrêt récent, la Cour a appliqué cette jurisprudence afin de confirmer que le ministère public doit être considéré comme un « responsable du traitement » ( 38 ). À mon avis, la justification de cette application repose sur une interprétation large de la notion de « responsable du traitement » au sens de
l’article 4, point 7, du RGPD, aux fins d’assurer une protection efficace et complète des libertés et droits fondamentaux des personnes concernées, tels que consacrés par le droit primaire ( 39 ), et cela indépendamment du point de savoir si le responsable du traitement est une entité publique ou privée ( 40 ). Afin d’assurer une telle protection efficace et complète, les principes relatifs à la protection des données dont le respect est imposé aux moteurs de recherche privés sont pertinents
pour les entités aussi bien privées que publiques, qui sont soumises aux mêmes principes généraux gouvernant les données ainsi qu’aux obligations prévues par le RGPD, lesquelles constituent une expression concrète du droit primaire.
c) La question de savoir si une autre entité est un responsable du traitement des données
59. Au cours de l’audience, le gouvernement belge a soutenu que le notaire devrait être considéré comme un responsable du traitement des données puisqu’il détermine les moyens et les finalités du traitement de celles-ci.
60. À mon avis, si le notaire devait être considéré comme étant l’unique responsable du traitement, cela impliquerait, en pratique, que nul ne serait responsable de la troisième étape de celui-ci, à savoir les opérations effectuées par le Moniteur belge, puisque le législateur, comme l’illustrent les faits du cas d’espèce, n’a pas habilité le notaire à influer de manière déterminante sur cette troisième phase de traitement. Cela étant dit, les trois entités en cause peuvent intervenir dans le
traitement de données à caractère personnel à différents stades et à différents degrés, de sorte que chacune d’entre elles peut être considérée comme un responsable du traitement, quoique avec des différences dans la portée et le niveau des obligations découlant de la qualité de responsable du traitement ( 41 ). De plus, je relève que, comme l’a soutenu la Commission à l’audience, la réglementation nationale pourrait, en théorie, désigner le Moniteur belge comme sous-traitant, à condition
d’imposer une obligation de rédaction, de conservation et de diffusion numérique du document en cause à plusieurs entités. Or, pour que le Moniteur belge puisse être qualifié de sous-traitant, les conditions énoncées à l’article 28 du RGPD devraient être réunies, ce qui n’est manifestement pas le cas dans les circonstances telles qu’exposées devant la Cour, puisque chaque entité concernée est responsable de sa propre partie du traitement ( 42 ). Par conséquent, le Moniteur belge ne peut pas être
considéré comme un « sous-traitant » au sens de cette disposition.
61. En outre, le gouvernement belge a fait valoir que le législateur national agit lui-même en tant que responsable du traitement ou désigne une entité assumant cette responsabilité, le Moniteur belge n’ayant fait qu’exercer les pouvoirs qui lui ont été conférés. Selon ce gouvernement, la jurisprudence relative aux moteurs de recherche privés ne saurait s’appliquer aux entités publiques, le Moniteur belge, en tant qu’autorité publique créée par le législateur, ne pouvant déterminer à lui seul sa
mission et les tâches qui lui incombent.
62. Comme je l’ai déjà souligné ( 43 ), le législateur national a, en l’espèce, implicitement désigné le Moniteur belge comme un responsable du traitement en lui conférant le pouvoir d’accomplir un certain nombre de tâches spécifiques.
63. En tout état de cause, je suis d’avis que, si la Cour devait considérer que le législateur national a la qualité de responsable du traitement chaque fois qu’il exerce son pouvoir de déterminer les finalités et les moyens d’une opération de traitement donnée, une telle approche aurait pour conséquence que les personnes physiques ne bénéficieraient plus d’une protection efficace, de sorte que la notion de responsable du traitement serait privée d’effet utile. En effet, la protection efficace des
personnes concernées ne saurait être assurée si les nombreuses responsabilités du responsable du traitement étaient exercées, pour chacun des traitements de données à caractère personnel prescrits par la réglementation d’un État membre, par le législateur lui-même. Ainsi, à mon avis, lorsqu’une autorité publique a été investie du pouvoir de traiter des données à caractère personnel, ce n’est pas le législateur qui est le responsable du traitement, mais bien l’autorité qui exerce cette mission
publique dans la mesure où elle détermine les finalités et les moyens de ce traitement ( 44 ). En l’espèce, il ressort clairement des circonstances que le traitement en cause, tel que décrit au point 43 des présentes conclusions, a lieu en exécution d’une réglementation nationale, ce qui exclut l’hypothèse que le législateur lui-même soit – par le fait d’adopter celle-ci – le responsable du traitement des données à caractère personnel.
d) L’absence de marge d’appréciation
64. En l’espèce, il ressort de la réglementation nationale telle que décrite devant la Cour que le Moniteur belge ne dispose d’aucun pouvoir de décision quant aux textes qu’il est tenu de publier ( 45 ). En effet, comme l’a souligné le gouvernement belge dans ses observations écrites et au cours de l’audience, le Moniteur belge disposait d’un délai de quinze jours ( 46 ) pour publier le document, lequel doit être une copie exacte de celui qui a été rédigé par le notaire. En cas d’omission ou de
retard, les fonctionnaires du Moniteur belge sont susceptibles d’être poursuivis en dommages et intérêts ( 47 ). Cette autorité ne vérifie pas, afin d’empêcher une telle éventualité, l’exhaustivité, la régularité ou l’exactitude des informations qu’elle est appelée à publier. Dès lors, ainsi que le fait valoir le gouvernement belge, il appert que le Moniteur belge n’a pas le pouvoir de vérifier le contenu de ces documents, y compris les données à caractère personnel que ceux-ci pourraient
contenir.
65. Toutefois, puisque le législateur lui-même n’agit pas en tant que responsable du traitement lorsqu’il adopte une réglementation, et puisque aucune autre entité n’a, en fait, d’influence sur la détermination des finalités et des moyens du traitement en cause – à savoir la transformation et la diffusion numériques des documents concernés –, le Moniteur belge doit, afin d’éviter une lacune dans la désignation, être désigné comme responsable du traitement. Le notaire et le greffe du tribunal de
l’entreprise n’ont tout simplement pas le pouvoir d’intervenir à ce stade. Cela étant dit, le défaut de pouvoir d’appréciation du Moniteur belge ne peut justifier l’absence de protection efficace des personnes concernées. Dès lors, il y a lieu de considérer que, même si sa désignation est implicite, le Moniteur belge est un responsable du traitement au sens de l’article 4, point 7, du RGPD en ce qui concerne le traitement de données à caractère personnel lorsqu’il publie des documents, comme
l’exige la réglementation nationale.
e) L’effacement de données à caractère personnel
66. Il ressort des faits du cas d’espèce que le DPD du notaire a demandé au SPF Justice (agissant au nom du Moniteur belge) d’effacer – c’est-à-dire de supprimer sur l’internet – le passage litigieux et de publier l’extrait expurgé de ce passage. Le SPF Justice a refusé d’accéder à cette demande et a offert de publier l’extrait dans une nouvelle rédaction. Dans ces circonstances, il appert que le notaire concerné n’a pas le pouvoir d’ordonner la modification ou le retrait du passage litigieux.
Toutefois, je souligne qu’aucune autre entité ne semble davantage disposer de ce pouvoir.
67. Le gouvernement belge a expliqué que le législateur national a voulu que les documents publiés au Moniteur belge soient immuables dans le temps à des fins archivistiques et que la version électronique des publications demeure à tout moment la copie exacte de la version papier, ce qui exclut toute modification rétroactive. Le gouvernement ajoute que, pour procéder à la rectification d’un acte d’une personne morale publié au Moniteur belge, le notaire doit déposer un acte modificatif au greffe du
tribunal de l’entreprise, lequel doit ensuite inviter la direction du Moniteur belge à publier cet acte modificatif. En revanche, il n’est pas possible, en droit belge, de supprimer complètement l’acte initial, ce qui reviendrait à méconnaître le principe de l’immutabilité du Moniteur belge.
68. À mon avis, le refus de l’autorité publique d’effacer le passage contenant les données à caractère personnel en cause, et de publier le document litigieux sans ce passage, a pour effet de maintenir ces données accessibles au public. Cela implique, selon moi, que cette autorité, lorsqu’elle applique le droit national, agit en tant que « responsable du traitement » au sens de l’article 4, point 7, du RGPD, car, en ne retirant pas le passage litigieux et en le maintenant public, elle détermine les
finalités et les moyens du traitement de données à caractère personnel. Si le Moniteur belge n’était pas reconnu comme responsable du traitement, il semblerait qu’aucune autorité n’aurait cette qualité ( 48 ).
69. À mon avis, la qualité de « responsable du traitement » ne saurait dépendre du fait qu’une autorité telle que le Moniteur belge est, en vertu du droit national, dans l’incapacité de donner suite à une demande d’effacement de données. Dès lors, s’il existe une lacune dans la réglementation nationale, c’est aux autorités nationales et, à ce stade, à la juridiction nationale qu’il appartient de désigner, en appliquant le RGPD, l’entité qui doit se conformer aux obligations prévues par celui-ci. En
l’espèce, les données restent accessibles au public puisqu’elles font l’objet d’un traitement, mais le droit national n’a pas désigné une autorité comme responsable du traitement pour cette partie du traitement.
70. Dans un tel cas de figure, la Cour devrait, puisque le législateur national a laissé subsister une lacune en ne désignant pas un responsable du traitement, indiquer qu’il appartient à la juridiction de renvoi de désigner, sur la base des circonstances exposées à la Cour, le Moniteur belge (ou le SPF Justice, selon ce que cette juridiction décidera) comme responsable du traitement. Seule une telle interprétation serait, à mon avis, conforme à l’objectif de l’article 4, point 7, du RGPD d’assurer,
au moyen d’une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées ( 49 ). Cela permettrait également d’éviter les lacunes et de prévenir d’éventuels contournements des règles de ce règlement.
71. En ce qui concerne les arguments pratiques tirés du principe d’immutabilité des informations diffusées par le Moniteur belge, c’est au législateur national, eu égard aux obligations découlant notamment des articles 5 et 17 du RGPD, qu’il incombe d’édicter un cadre législatif qui prenne en compte la protection des personnes concernées ainsi que ce principe. Étant donné que la publication des données à caractère personnel accroît de manière exponentielle le risque de préjudice pour les personnes
concernées, il est nécessaire pour le droit national de prévoir des solutions innovantes ( 50 ).
72. En conclusion, je suggère à la Cour de juger, dans la présente affaire, que le Moniteur belge agit en tant que « responsable du traitement » au sens de l’article 4, point 7, du RGPD, et cela lorsqu’il refuse d’ôter le passage litigieux à la connaissance du public, c’est-à-dire lorsqu’il en maintient l’accessibilité à ce dernier.
3. Conclusion intermédiaire
73. En l’espèce, la réglementation nationale a institué une obligation de désigner un responsable du traitement afin d’assurer le respect des obligations découlant du RGPD. Premièrement, s’agissant des transformation, publication et diffusion numériques des données en cause, le Moniteur belge doit être désigné comme « responsable du traitement » au sens de l’article 4, point 7, de ce règlement afin que les droits fondamentaux des personnes concernées puissent être garantis. Deuxièmement, en ce qui
concerne le non-retrait des données en cause, il existe une lacune dans la réglementation nationale dans la mesure où aucune des entités concernées n’a le pouvoir de retirer ces données. Dans un tel cas, c’est à la juridiction de renvoi qu’il appartient, en appliquant le RGPD afin d’assurer la protection des droits fondamentaux des personnes concernées, de désigner un responsable du traitement, lequel, en l’occurrence, semble être le Moniteur belge.
74. Par conséquent, je propose de répondre à la première question que l’article 4, point 7, du RGPD doit être interprété en ce sens qu’un journal officiel d’un État membre, tel que le Moniteur belge, auquel sont confiés, en vertu de la réglementation nationale applicable, la publication et l’archivage de documents officiels peut, dans des circonstances où des entités tierces ordonnent la publication de ces documents tels quels, être considéré comme responsable du traitement, au sens de l’article 4,
point 7, du RGPD, en vue d’assurer une protection efficace et complète des personnes concernées, puisque le législateur national a conféré à ce journal officiel le pouvoir de déterminer les moyens de transformation, publication, diffusion et conservation numériques des documents en cause, et a fixé des finalités étendues en ce qui concerne la publication et la diffusion. En ce qui concerne, toutefois, l’absence de désignation du responsable du traitement quant au retrait ou à l’effacement de
données, il appartient à la juridiction nationale – les données en cause demeurant, en effet, accessibles au public – de désigner l’entité qui doit se conformer aux obligations prévues par le RGPD.
75. Ce n’est que si la Cour accepte cette réponse à la première question qu’elle devrait répondre à la seconde, qui concerne le point de savoir si le Moniteur belge ou l’autorité qui le gère doit seul répondre du respect des obligations imposées au responsable du traitement par le RGPD.
B. La seconde question préjudicielle
76. Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 2, du RGPD doit être interprété en ce sens que le journal officiel en question doit être seul tenu au respect des obligations pesant sur le responsable du traitement aux termes de cette disposition, à l’exclusion des entités tierces qui ont préalablement traité les données figurant dans les documents officiels dont la publication lui a été demandée par celles-ci, ou si ces obligations reposent de
manière cumulative sur chacun des responsables du traitement successifs.
77. Selon les termes de l’article 5, paragraphe 2, du RGPD, le responsable du traitement est responsable du respect des principes énoncés au paragraphe 1 de cet article, tels que les principes de minimisation des données et d’exactitude ( 51 ), et doit être en mesure de démontrer que ces principes ont été respectés. Dans la mesure où, en l’espèce, une personne physique cherche à obtenir l’effacement de données à caractère personnel dont la réglementation nationale ne requiert pas la publication, la
juridiction de renvoi explique qu’elle doit décider si le Moniteur belge ou l’autorité qui la gère doit seul répondre du respect des principes de minimisation des données et d’exactitude, ou si les deux autres entités en sont également responsables.
78. En particulier, la juridiction de renvoi, tout en relevant que les parties au principal ne font pas valoir qu’il existerait des responsables conjoints du traitement au sens de l’article 26 du RGPD, se demande si chacun des potentiels responsables du traitement successifs, ou l’un d’entre eux seulement, doit être qualifié de « responsable du traitement » au sens de l’article 4, point 7, de ce règlement, et doit donc être tenu pour responsable du respect des principes susmentionnés, en vertu de
l’article 5, paragraphe 2, dudit règlement.
1. Opérations qui se succèdent dans le temps
79. Ainsi que je l’ai déjà relevé ( 52 ), les données à caractère personnel en cause figurant dans le passage litigieux publié au Moniteur belge ont été successivement traitées par plusieurs entités, à savoir par le notaire qui a rédigé l’extrait, par le greffe du tribunal de l’entreprise néerlandophone de Bruxelles qui a versé celui-ci au dossier de la société et, enfin, par le Moniteur belge qui a publié l’extrait tel quel.
80. S’agissant de cette chaîne d’événements, il y a lieu de relever que le traitement des données à caractère personnel en cause qui a été confié au Moniteur belge est non seulement postérieur au traitement effectué par le notaire et par le greffe du tribunal de l’entreprise, mais est aussi techniquement différent du traitement effectué par ces deux entités et vient s’y ajouter. Il importe de souligner que, dans la mesure où les opérations effectuées par le Moniteur belge impliquent notamment la
transformation numérique des données contenues dans les extraits d’actes qui lui sont soumis, la publication, la mise à la disposition d’un large public et la conservation de ces données – c’est-à-dire les opérations confiées par la loi au Moniteur belge – ont, quand on les compare au traitement effectué antérieurement par les deux autres entités, une considérable incidence additionnelle sur les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel,
et comportent un risque pour ceux‑ci ( 53 ).
81. Dès lors, il incombe au Moniteur belge de respecter, en ce qui concerne les traitements qu’il est tenu d’effectuer en vertu du droit national, l’ensemble des obligations imposées au responsable du traitement par le RGPD.
2. Absence de responsabilité conjointe
82. L’article 4, point 7, du RGPD reconnaît que les « finalités et les moyens » du traitement peuvent être déterminés par plus d’un acteur. Cette disposition précise que la notion de « responsable du traitement » vise l’organisme qui détermine les finalités et les moyens du traitement « seul ou conjointement avec d’autres ». Cette situation est visée à l’article 26 de ce règlement, selon lequel plusieurs entités différentes peuvent être responsables du même traitement, chacune d’entre elles étant
alors soumise aux dispositions applicables en matière de protection des données ( 54 ).
83. Je rappelle que l’article 26, paragraphe 1, du RGPD prévoit que, lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens de traitement, ils sont les responsables conjoints du traitement. Ce paragraphe ajoute que les responsables conjoints du traitement doivent définir de manière transparente leurs obligations respectives aux fins d’assurer le respect de toutes les exigences du RGPD, sauf si, et dans la mesure où, leurs obligations respectives sont
définies, notamment, par le droit de l’État membre auquel ils sont soumis. Dès lors, la responsabilité conjointe de plusieurs responsables du traitement ne dépend pas nécessairement de l’existence d’un accord entre eux ni même de leur intention, mais peut découler du droit national à condition que la désignation de plusieurs responsables du traitement et les obligations respectives de chacun d’eux au regard des exigences du RGPD puissent être inférées de ce droit.
84. Toutefois, le fait que plusieurs acteurs participent à la même chaîne de traitement ne signifie pas qu’ils agissent nécessairement en tant que responsables conjoints ( 55 ). En outre, la Cour a jugé qu’une personne physique ou morale ne saurait être considérée comme étant responsable des opérations antérieures ou postérieures de la chaîne de traitement dont elle ne détermine ni les finalités ni les moyens ( 56 ). Ainsi, il ne semble pas que le droit national ait, en l’espèce, désigné des
responsables conjoints du traitement puisque le notaire n’exerce aucun contrôle sur les opérations effectuées par le Moniteur belge.
85. Par conséquent, je suis d’avis que, en l’espèce, aucune responsabilité conjointe des trois entités n’a été instituée par le droit national et qu’elle ne peut pas non plus être établie à partir des faits tels que décrits par la juridiction de renvoi. S’agissant des faits du litige au principal, je relève, en particulier, que les trois entités intervenant dans la chaîne de traitement n’appliquent pas les mêmes moyens de traitement, le Moniteur belge effectuant une transformation numérique, une
publication et une diffusion des documents en cause. En outre, compte tenu des circonstances factuelles de la cause, la personne physique concernée, qui cherche à faire usage de son droit à l’effacement en vertu de l’article 17 du RGPD, devrait exercer les droits qu’elle tire de ce règlement à l’égard et à l’encontre de chacun des responsables conjoints du traitement. Vu sous cet angle, chacun des acteurs serait donc responsable séparément du respect des principes consacrés à l’article 5,
paragraphe 1, du RGPD ( 57 ).
86. Il s’ensuit que, selon moi, on ne peut constater aucune responsabilité « cumulative » des différents responsables du traitement en ce qui concerne l’article 5, paragraphe 2, du RGPD. En effet, chacun des acteurs intervenant dans la chaîne de traitement ne peut, en ce qui concerne les opérations qu’ils ont effectuées conformément aux finalités et aux moyens du traitement de données, répondre qu’individuellement du respect des principes fixés à l’article 5, paragraphe 1, de ce règlement. En
l’espèce, puisque les données ont été erronément publiées non pas par le notaire, mais par le Moniteur belge, il me semble que ce dernier, malgré le fait qu’il n’a pas lui-même inclus les données dans le passage litigieux, doit également être tenu pour individuellement responsable du respect des principes fixés à l’article 5, paragraphe 1, duRGPD.
87. Enfin, je tiens à souligner qu’il appartient à la juridiction de renvoi de vérifier la compatibilité avec le RGPD du droit national, en ce que celui-ci prévoit une possibilité de rectification, mais non d’effacement des données publiées au Moniteur belge. En effet, la réglementation nationale ne semble pas permettre au Moniteur belge de supprimer rétroactivement des données qui ont déjà été publiées (y compris sous forme électronique). Dans ce contexte, il est vrai que les droits de
rectification et d’effacement, prévus respectivement aux articles 16 et 17 du RGPD, peuvent, comme le prévoit l’article 23 de ce règlement, faire l’objet de limitations en droit national. Toutefois, une telle limitation doit, conformément à l’article 52, paragraphe 1, de la Charte, être prévue par la loi, respecter le contenu essentiel des droits fondamentaux des personnes physiques et respecter le principe de proportionnalité ( 58 ).
3. Conclusion intermédiaire
88. Je propose donc de répondre à la seconde question que l’article 5, paragraphe 2, du RGPD doit être interprété en ce sens que le journal officiel en cause est tenu de respecter les obligations qui incombent au responsable du traitement en vertu de cette disposition pour les opérations qu’il a effectuées. Le traitement en cause ne fait pas apparaître une responsabilité conjointe, et le Moniteur belge seul répond des opérations de traitement qui lui sont imposées par le droit national.
IV. Conclusion
89. Au vu des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par la cour d’appel de Bruxelles (Belgique) de la manière suivante :
L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que le journal officiel d’un État membre, tel que le Moniteur belge, auquel sont confiés, en vertu de la réglementation nationale applicable, la publication et l’archivage de documents officiels peut, dans des circonstances où des entités tierces ordonnent la publication de ces documents tels quels, être considéré comme responsable du traitement, au sens de l’article 4, point 7, de ce règlement, en vue d’assurer une protection efficace et complète des personnes
concernées, puisque le législateur national a conféré à ce journal officiel le pouvoir de déterminer les moyens de transformation, publication, diffusion et conservation numériques des documents en cause, et a fixé des finalités étendues en ce qui concerne la publication et la diffusion. En ce qui concerne, toutefois, l’absence de désignation du responsable du traitement pour ce qui regarde le retrait ou l’effacement de données, il appartient à la juridiction nationale – les données en cause
demeurant, en effet, accessibles au public – de désigner l’entité qui doit se conformer aux obligations prévues par le règlement 2016/679.
L’article 5, paragraphe 2, du règlement 2016/679 doit être interprété en ce sens que le journal officiel en cause est tenu de respecter les obligations qui incombent au responsable du traitement en vertu de cette disposition pour les opérations qu’il a effectuées. Le traitement en cause ne fait pas apparaître une responsabilité conjointe, et le Moniteur belge seul répond des opérations de traitement qui lui sont imposées par le droit national.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : l’anglais.
( 2 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 3 ) Moniteur belge du 6 août 1999, p. 29440.
( 4 ) Moniteur belge du 6 février 2001, p. 3008.
( 5 ) Moniteur belge du 31 décembre 2002, p. 58686.
( 6 ) En invoquant l’exception prévue à l’article 17, paragraphe 3, et à l’article 86 du RGPD.
( 7 ) L’article 4, point 2, du RGPD définit le « traitement » comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à
disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
( 8 ) Voir arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, ci-après l’« arrêt Google Spain », EU:C:2014:317), et Lynskey, O., « Control over Personal Data in a Digital Age : Google Spain v AEPD and Mario Costeja Gonzalez », The Modern Law Review, vol. 78, no 3, 2015, p. 522 à 534.
( 9 ) Voir les conclusions de l’avocate générale Ćapeta dans l’affaire Norra Stockholm Bygg (C‑268/21, EU:C:2022:755, point 17). Voir aussi arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 68). Voir également Bygrave, L. A., et Tosoni, L., « Article 4(7). Controller », dans Kuner, C., Bygrave, L. A., Docksey, C., Drechsler, L., et Tosoni, L. (éd.), The EU General Data Protection Regulation (GDPR) : A Commentary, Oxford University Press, Oxford, 2021, p. 146 à 150.
( 10 ) Voir, en ce sens, arrêt du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, point 35).
( 11 ) Voir arrêts du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, point 34), et du 24 février 2022, Valsts ieņēmumu dienests (Traitement fiscal des données à caractère personnel) (C‑175/20, EU:C:2022:124, point 35).
( 12 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 13 ) Arrêt Google Spain (point 41). Voir aussi arrêt du 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact) (C‑460/20, EU:C:2022:962, point 49).
( 14 ) Arrêt du 29 juillet 2019 (C‑40/17, EU:C:2019:629, point 72).
( 15 ) Article 4, point 7, du RGPD.
( 16 ) Article 4, point 8, du RGPD. En ce qui concerne, par exemple, la responsabilité d’un moteur de recherche, la Cour a dit que le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue de, et s’ajoute à, celui effectué par les éditeurs de sites Internet, consistant à faire figurer ces données sur une page Internet, et a souligné que l’exploitant de ce moteur est la personne déterminant les finalités et les moyens de l’activité de
celui‑ci [arrêt du 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact), C‑460/20, EU:C:2022:962, point 44].
( 17 ) Voir, dans le même sens, arrêt Google Spain (point 34), et arrêt du 5 juin 2018, Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2018:388, point 28).
( 18 ) Voir lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous‑traitant dans le RGPD, CEPD, point 12.
( 19 ) Voir conclusions de l’avocat général Bot dans l’affaire Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796, point 46).
( 20 ) Voir p. 10 de l’avis 1/2010 (WP 169) sur les notions de « responsable du traitement » et de « sous-traitant », rédigé par le groupe de travail « article 29 » sur la protection des données, qui était un organe consultatif institué par l’article 29 de la directive 95/46, désormais remplacé par le Comité européen de la protection des données (ci-après le « CEPD »), institué en vertu de l’article 68 du RGPD.
( 21 ) Van Alsenoy, B., « Chapter 4. Allocation of Responsibility », Data Protection Law in the EU : Roles, Responsibilities and Liability, 1re édition, Intersentia, Mortsel, 2019, p. 43 à 53.
( 22 ) Voir article 2 de l’arrêté royal du 25 juin 2020, établissant le modèle de publication au Moniteur belge visé à l’article 1250 du Code judiciaire. Je précise que le SPF Justice, en qualité de responsable du traitement au sens de l’article 4, point 7, du RGPD, doit non seulement « assure[r] la gestion opérationnelle de la publication et fourni[r] les moyens techniques du traitement », mais doit également respecter les obligations prévues par ce règlement en ce qui concerne le traitement (voir,
en particulier, articles 5 et 6 du RGPD).
( 23 ) Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous‑traitant dans le RGPD, CEPD, point 20.
( 24 ) Ibidem.
( 25 ) Cela étant dit, l’obligation – telle que prévue à l’article 4, point 7, du RGPD, lu conjointement avec l’article 5, paragraphe 1, sous b), de ce règlement – selon laquelle les finalités doivent être déterminées et explicites exige à tout le moins que toute détermination indirecte des finalités du traitement ressorte des dispositions sur lesquelles repose l’activité de l’autorité concernée.
( 26 ) Voir arrêt du 9 mars 2017 (C‑398/15, EU:C:2017:197, point 35).
( 27 ) Voir articles 71 et 73 du code des sociétés.
( 28 ) À l’audience, le gouvernement belge a fait valoir que la réglementation avait implicitement désigné comme responsable du traitement le notaire, l’APD ayant, quant à elle, soutenu que c’est plutôt le Moniteur belge qui aurait été désigné par celle-ci en cette qualité.
( 29 ) Arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 68).
( 30 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629).
( 31 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, points 78 et 79).
( 32 ) Ainsi que l’a relevé l’avocat général Pitruzzella dans ses conclusions dans l’affaire Google (Déréférencement d’informations prétendument fausses) (C‑460/20, EU:C:2022:271, point 15), la Cour a, en raison de cet aspect, précisé, dans son arrêt Google Spain, que le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue de celui effectué par les éditeurs de sites web, consistant à faire figurer ces données sur une page Internet, et
s’ajoute à ce traitement.
( 33 ) Voir arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 70).
( 34 ) Voir arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17, EU:C:2019:773, point 37).
( 35 ) Point 34 de cet arrêt.
( 36 ) Voir considérant 1 du RGPD.
( 37 ) Voir point 68 des présentes conclusions.
( 38 ) Arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C‑180/21, EU:C:2022:967, point 80).
( 39 ) Voir point 54 des présentes conclusions.
( 40 ) Voir, en particulier, considérants 1 et 4 et article 1er, paragraphe 2, du RGPD.
( 41 ) Voir, en ce sens, arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 66).
( 42 ) En vertu des articles 28 et 29 du RGPD, le traitement par un sous-traitant doit être régi par un contrat ou un acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement et qui définit le traitement. Pour que le Moniteur belge puisse être qualifié de sous-traitant, le législateur national aurait dû fixer des règles en matière de sous-traitance.
( 43 ) Voir points 55 à 57 des présentes conclusions.
( 44 ) De plus, l’argument avancé par le gouvernement belge contredit celui qu’il a présenté à l’audience, selon lequel le Moniteur belge n’applique pas la loi, mais exécute plutôt la demande du notaire.
( 45 ) Articles 474 à 476 de la loi-programme du 24 décembre 2002.
( 46 ) Celui-ci a été ramené à dix jours en vertu des nouvelles règles.
( 47 ) Voir notamment articles 73 et 76 du code des sociétés.
( 48 ) La question qui se pose ici est celle de savoir si le législateur belge n’a pas limité les pouvoirs du responsable du traitement d’une manière contraire au RGPD. On pourrait soutenir qu’une telle limitation est problématique non seulement à la lumière de l’article 17 de ce règlement, mais aussi de l’article 16, paragraphe 1, TFUE et de l’article 8, paragraphe 1, de la Charte, et porterait potentiellement atteinte à l’effet utile de la protection accordée par le RGPD. Toutefois, s’il incombera
à la juridiction de renvoi d’examiner ces questions, celles-ci, puisque la demande de la personne concernée est fondée sur l’article 17 du RGPD, ne sont manifestement pas couvertes par la demande de décision préjudicielle introduite en l’espèce par cette juridiction.
( 49 ) Voir point 54 des présentes conclusions.
( 50 ) À l’audience, la Commission a expliqué que, par exemple, le Journal officiel de l’Union européenne peut être modifié et que de telles solutions existent bel et bien.
( 51 ) Voir article 5, paragraphe 1, sous c) et d), du RGPD.
( 52 ) Voir point 55 des présentes conclusions.
( 53 ) Ainsi que l’a relevé l’avocat général Pitruzzella dans ses conclusions dans l’affaire Google (Déréférencement d’informations prétendument fausses) (C‑460/20, EU:C:2022:271, point 15), la Cour a, en raison de cet aspect, précisé, dans son arrêt Google Spain, que le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue de celui effectué par les éditeurs de sites web, consistant à faire figurer ces données sur une page Internet, et
s’ajoute à ce traitement.
( 54 ) Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 67). Voir également lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, CEPD, point 29.
( 55 ) Voir lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous‑traitant dans le RGPD, CEPD, point 67. Comme l’a indiqué la Commission, tous les types de partenariat, de coopération ou de collaboration n’impliquent pas que les entités soient des responsables conjoints du traitement, étant donné que cette qualité requiert une analyse au cas par cas de chaque traitement et du rôle précis que joue chaque entité dans chaque traitement. Je soutiendrais que
l’existence d’une responsabilité conjointe devrait être admise lorsque deux entités effectuent des opérations de traitement qui ne peuvent pas être distinguées en tant qu’étapes séparées au sein du traitement.
( 56 ) Voir, en ce sens, arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 74).
( 57 ) Par exemple, seul le greffe du tribunal de l’entreprise est en mesure d’ajouter le passage litigieux au dossier de la société.
( 58 ) Voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559, points 172 à 176).
