CONCLUSIONS DE L’AVOCATE GÉNÉRALE
MME LAILA MEDINA
présentées le 15 juin 2023 ( 1 )
Affaire C‑333/22
Ligue des droits humains ASBL,
BA
contre
Organe de contrôle de l’information policière
[demande de décision préjudicielle formée par la cour d’appel de Bruxelles (Belgique)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale – Exercice des droits de la personne concernée par l’intermédiaire de l’autorité de contrôle compétente – Vérification par cette autorité de la licéité du traitement des données à caractère personnel de la personne concernée – Droit à un recours juridictionnel effectif contre l’autorité de contrôle »
1. La directive (UE) 2016/680 ( 2 ), plus connue sous le nom de « directive en matière de protection des données dans le domaine répressif », établit des règles spécifiques relatives à la protection des données à caractère personnel et à la libre circulation de ces données dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière, et reflète, en substance, la « nature spécifique de ces domaines » ( 3 ). La directive 2016/680 poursuit deux objectifs d’ordre
politique. D’une part, elle vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice (ELSJ) ( 4 ) permettant la libre circulation des données à caractère personnel entre les autorités compétentes à des fins répressives ( 5 ). D’autre part, elle vise à assurer un niveau élevé de protection de ces données. Sa base juridique est l’article 16, paragraphe 2, TFUE, qui charge le législateur de l’Union de fixer des règles relatives à la protection des données à caractère
personnel.
2. « Concilier » ces deux objectifs politiques poursuivis par la directive 2016/680 demeure toutefois une tâche difficile ( 6 ). La présente affaire offre à la Cour l’occasion d’examiner un exemple concret de l’équilibre entre l’application de la loi en matière répressive et la protection des données dans le cadre de l’exercice de leurs droits par les personnes concernées. La directive renforce les droits des personnes concernées par rapport au régime antérieur que prévoyait la décision-cadre
2008/977/JAI du Conseil ( 7 ). Ce renforcement concerne plus particulièrement la reconnaissance d’un droit d’accès direct par la personne concernée, qui est un élément essentiel du droit fondamental à la protection des données. Comme l’observe la doctrine universitaire, les droits des personnes concernées dans le domaine répressif sont « un outil essentiel contre les asymétries en matière de pouvoir d’information et les opérations de traitement illicites » ( 8 ). Il est donc essentiel de garantir
l’exercice effectif de ces droits.
Le cadre juridique
Le droit de l’Union
La directive 2016/680
3. L’article 3 de la directive 2016/680 énonce les définitions suivantes :
« 8. “responsable du traitement” : l’autorité compétente qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre ;
[...]
15. “autorité de contrôle”, une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 41 [...] ».
4. Le chapitre III de la directive 2016/680 est intitulé « Droits de la personne concernée ». Dans ce chapitre, l’article 13, intitulé « Informations à mettre à la disposition de la personne concernée ou à lui fournir », dispose, à ses paragraphes 3 et 4 :
« 3. Les États membres peuvent adopter des mesures législatives visant à retarder ou limiter la fourniture des informations à la personne concernée en application du paragraphe 2, ou à ne pas fournir ces informations, dès lors et aussi longtemps qu’une mesure de cette nature constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et libertés d’autrui.
4. Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements susceptibles de relever, dans leur intégralité ou en partie, d’un quelconque des points énumérés au paragraphe 3. »
5. L’article 14 de la directive 2016/680, intitulé « Droit d’accès de la personne concernée », énonce :
« Sous réserve de l’article 15, les États membres prévoient que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données [...] ».
6. L’article 15 de la directive 2016/680, intitulé « Limitations du droit d’accès », dispose :
« 1. Les États membres peuvent adopter des mesures législatives limitant, entièrement ou partiellement, le droit d’accès de la personne concernée, dès lors et aussi longtemps qu’une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et libertés d’autrui.
2. Les États membres peuvent adopter des mesures législatives afin de déterminer des catégories de traitements de données susceptibles de relever, dans leur intégralité ou en partie, du paragraphe 1, [sous] a) à e).
3. Dans les cas visés aux paragraphes 1 et 2, les États membres prévoient que le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés au paragraphe 1. Les États membres prévoient que le responsable du traitement informe la personne
concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel.
4. Les États membres prévoient que le responsable du traitement informe la personne concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel. »
7. L’article 16 de la directive 2016/680, intitulé « Droit de rectification ou d’effacement des données à caractère personnel et limitation du traitement », dispose, à son paragraphe 4 :
« Les États membres prévoient que le responsable du traitement informe la personne concernée par écrit de tout refus de rectifier ou d’effacer des données à caractère personnel ou de limiter le traitement, ainsi que des motifs du refus. Les États membres peuvent adopter des mesures législatives limitant, en tout ou partie, l’obligation de fournir ces informations, dès lors qu’une telle limitation constitue une mesure nécessaire et proportionnée dans une société démocratique en tenant dûment
compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée pour :
a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;
b) éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales ;
c) protéger la sécurité publique ;
d) protéger la sécurité nationale ;
e) protéger les droits et libertés d’autrui.
Les États membres prévoient que le responsable du traitement informe la personne concernée de la possibilité d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel. »
8. L’article 17 de la directive 2016/680, intitulé « Exercice des droits par la personne concernée et vérification par l’autorité de contrôle », énonce :
« 1. Dans les cas visés à l’article 13, paragraphe 3, à l’article 15, paragraphe 3, et à l’article 16, paragraphe 4, les États membres adoptent des mesures afin que les droits de la personne concernée puissent également être exercés par l’intermédiaire de l’autorité de contrôle compétente.
2. Les États membres prévoient que le responsable du traitement informe la personne concernée de la possibilité qu’elle a d’exercer ses droits par l’intermédiaire de l’autorité de contrôle en application du paragraphe 1.
3. Lorsque le droit visé au paragraphe 1 est exercé, l’autorité de contrôle informe au moins la personne concernée du fait qu’elle a procédé à toutes les vérifications nécessaires ou à un examen. L’autorité de contrôle informe également la personne concernée de son droit de former un recours juridictionnel. »
Le droit belge
9. La loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, du 30 juillet 2018 (Moniteur belge du 5 septembre 2018, p. 68616, ci-après la « LPD »), transpose en droit belge la directive 2016/680. Le titre 2, chapitre III, de la LPD énonce les droits de la personne concernée, lesquels comprennent, en substance, le droit à l’information, le droit d’accès aux données et le droit de rectification.
10. L’article 42 de la LPD dispose :
« La demande d’exercer les droits visés au présent chapitre à l’égard des services de police [...] ou de l’inspection générale de la police fédérale et de la police locale, est adressée à l’autorité de contrôle visée à l’article 71.
Dans les cas visés aux articles 37, § 2, 38, § 2, 39, § 4, et 62, § 1er, l’autorité de contrôle visée à l’article 71 informe uniquement la personne concernée qu’il a été procédé aux vérifications nécessaires.
Nonobstant l’alinéa 2, l’autorité de contrôle visée à l’article 71 peut communiquer à la personne concernée certaines informations contextuelles.
Le Roi détermine, après avis de l’autorité de contrôle visée à l’article 71, les catégories d’informations contextuelles qui peuvent être communiquées à la personne concernée par cette autorité de contrôle. »
11. La juridiction de renvoi indique que les « informations contextuelles » que l’Organe de contrôle de l’information policière peut communiquer à la personne concernée n’ont pas encore été précisées dans l’arrêté royal prévu à l’article 42, quatrième phrase, de la LPD.
12. L’article 71 de la LPD dispose :
« 1. Il est créé auprès de la Chambre des représentants une autorité de contrôle indépendante de l’information policière, dénommée Organe de contrôle de l’information policière.
[...]
Elle est [...] chargée de :
1° surveiller l’application du présent titre [...] »
13. Sous le titre 5 de la LPD, le chapitre Ier est intitulé « Action en cessation ». L’article 209, qui figure dans ce chapitre, est libellé comme suit :
« Sans préjudice de tout autre recours juridictionnel, administratif ou extrajudiciaire, le président du tribunal de première instance, siégeant comme en référé, constate l’existence d’un traitement constituant une violation aux dispositions légales ou réglementaires concernant la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel et en ordonne la cessation.
Le président du tribunal de première instance, siégeant comme en référé, connaît de toute demande relative au droit accordé par ou en vertu de la loi, d’obtenir communication de données à caractère personnel, et de toute demande tendant à faire rectifier, supprimer ou interdire d’utiliser toute donnée à caractère personnel inexacte ou, compte tenu du but du traitement, incomplète ou non pertinente, ou dont l’enregistrement, la communication ou la conservation sont interdits, au traitement de
laquelle la personne concernée s’est opposée ou qui a été conservée au-delà de la période autorisée. »
14. L’article 240 de la LPD dispose que l’Organe de contrôle de l’information policière :
« 4° traite des réclamations, enquête sur l’objet de la réclamation dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire. [...] »
Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles
15. En 2016, BA a souhaité participer au montage et au démontage des installations pour la dixième édition des « Journées européennes du développement » à Bruxelles (Belgique). À cet effet, il devait obtenir une « attestation de sécurité ».
16. Par lettre du 22 juin 2016, l’Autorité nationale de sécurité (Belgique) a refusé de délivrer l’attestation de sécurité requise. Elle a indiqué qu’il ressortait des données mises à sa disposition que l’intéressé était connu pour sa participation à dix manifestations entre les années 2007 et 2016, ce qui ne permettait pas d’attribuer une attestation de sécurité. BA n’a pas contesté cette décision de l’Autorité nationale de sécurité.
17. La LPD, qui institue l’Organe de contrôle de l’information policière, est entrée en vigueur le 5 septembre 2018.
18. Le 4 février 2020, le conseil de BA a invité l’Organe de contrôle de l’information policière à identifier les responsables du traitement en cause et à leur enjoindre d’accorder à BA un accès à la totalité des informations le concernant.
19. Par courrier électronique du 6 février 2020, l’Organe de contrôle de l’information policière a répondu en indiquant que BA ne disposait que d’un droit d’accès indirect, tout en assurant qu’elle allait vérifier les données à caractère personnel relatives à BA en vue de garantir la licéité d’un éventuel traitement de ces données dans la Banque de données nationale générale (BNG). L’Organe de contrôle de l’information policière a précisé qu’il avait la compétence d’ordonner à la police de supprimer
ou de modifier des données, si nécessaire, et qu’à l’issue de ce contrôle BA serait informé du fait que « les vérifications nécessaires ont été effectuées ».
20. Le 22 juin 2020, l’Organe de contrôle de l’information policière a écrit :
« [...] Je vous informe, conformément à l’article 42 de la [LPD], que l’Organe de contrôle [de l’information policière] a procédé aux vérifications nécessaires.
Cela signifie que les données à caractère personnel de votre client ont été vérifiées dans les banques de données policières en vue de garantir la légalité d’un éventuel traitement.
Si nécessaire, les données à caractère personnel ont été modifiées ou supprimées.
Comme je vous l’avais expliqué dans mon e-mail du 2 juin dernier, l’article 42 de la LPD ne permet pas à l’Organe de contrôle [de l’information policière] de communiquer plus d’informations. »
21. Le 2 septembre 2020, les requérants au principal, à savoir BA et la Ligue des droits humains, ont introduit un recours contre l’Organe de contrôle de l’information policière devant le président du tribunal de première instance francophone de Bruxelles (Belgique) sur le fondement de l’article 209, deuxième phrase, de la LPD. Ils ont demandé que leur recours contre l’autorité de contrôle soit déclaré recevable. À titre subsidiaire, ils ont demandé à cette juridiction si l’article 42 de la LPD
était contraire à l’article 47, paragraphe 4, et à l’article 17, paragraphe 3, de la directive 2016/680. À cet égard, BA et la Ligue des droits humains ont fait valoir que l’article 42 de la LPD ne prévoit pas de recours juridictionnel contre les décisions prises par l’autorité de contrôle indépendante et n’oblige pas non plus cette autorité à informer la personne concernée de son droit de former un recours juridictionnel.
22. En ce qui concerne le fond de leur action, les requérants ont demandé à avoir accès à toutes les données à caractère personnel concernant BA et à ordonner à l’Organe de contrôle de l’information policière d’identifier les responsables du traitement et toute personne susceptible d’avoir reçu de telles données. À titre subsidiaire, ils ont demandé que la Cour soit interrogée, en substance, sur la compatibilité de l’article 42, deuxième alinéa, de la LPD avec les articles 14, 15 et 17 de la
directive 2016/680, lus à la lumière des articles 8 et 47 ainsi que de l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »). À cet égard, ils se sont plaints de ce que l’article 42, deuxième alinéa, de la LPD prévoit une dérogation générale et systématique au droit d’accès aux données à caractère personnel.
23. Par ordonnance du 17 mai 2021, le tribunal de première instance francophone de Bruxelles s’est déclaré incompétent en ce qui concerne le recours des requérants.
24. Par requête du 15 juin 2021, l’affaire au principal a été portée devant la cour d’appel de Bruxelles (Belgique). Les requérants ont, en substance, réitéré les critiques qu’ils avaient formulées à l’encontre de l’article 42, deuxième alinéa, de la LPD et les demandes qu’ils avaient présentées dans le cadre de la procédure de première instance.
25. L’Organe de contrôle de l’information policière a fait valoir qu’il y avait lieu de rejeter l’appel.
26. La juridiction de renvoi indique que les données traitées par les services de police sont soumises, en droit belge, à un régime particulier. En vertu de l’article 42 de la LPD, toute demande fondée sur des droits relatifs à ces données à caractère personnel est adressée à l’Organe de contrôle de l’information policière. Cet organe se borne à informer la personne concernée qu’« il a été procédé aux vérifications nécessaires ».
27. La juridiction de renvoi relève que l’article 17, paragraphe 3, de la directive 2016/680 n’a pas été correctement transposé en droit national. Premièrement, l’article 42 de la LPD ne prévoit pas que l’autorité de contrôle informe la personne concernée de son droit de former un recours juridictionnel. Secondement, la LPD ne permet pas l’exercice d’un recours juridictionnel contre l’Organe de contrôle de l’information policière.
28. À cet égard, la juridiction de renvoi indique, en premier lieu, que le recours prévu à l’article 240 de la LPD, qui permet à la personne concernée d’introduire une réclamation auprès de l’autorité de contrôle, doit être exercé à l’encontre du responsable du traitement.
29. En deuxième lieu, l’action en cessation prévue aux articles 209 et suivants de la LPD ne fournit pas à BA un recours effectif contre l’Organe de contrôle de l’information policière. À cet égard, la juridiction de renvoi précise qu’il découle de ces dispositions, premièrement, que le recours doit être dirigé contre le responsable du traitement. BA ne peut donc pas le diriger contre l’Organe de contrôle de l’information policière. Deuxièmement, l’article 42 de la LPD ne permet pas à BA de former
un tel recours contre le responsable du traitement, car l’exercice de ses droits est confié à l’Organe de contrôle de l’information policière. Troisièmement, l’information particulièrement succincte donnée par l’Organe de contrôle de l’information policière, en application de l’article 42 de la LPD, ne permet ni à BA ni à une juridiction, dans le cadre d’un contrôle a posteriori, d’apprécier si cet organe a correctement exercé les droits de BA.
30. En troisième lieu, même si l’action en cessation est organisée « sans préjudice de tout autre recours juridictionnel, administratif ou extrajudiciaire » et sans limiter « la compétence du tribunal de première instance et du président du tribunal de première instance siégeant en référé » (articles 209 et 219 de la LPD), toute autre voie de recours que BA pourrait chercher à exercer se heurterait, selon la juridiction de renvoi, aux mêmes écueils.
31. C’est dans ces conditions que la cour d’appel de Bruxelles a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) [L’article] 47 et [l’article] 8, paragraphe 3, de la [Charte] imposent-ils de prévoir un recours juridictionnel à l’encontre de l’autorité de contrôle indépendante telle que l’Organe de contrôle de l’information policière lorsqu’elle exerce les droits de la personne concernée à l’égard du responsable du traitement ?
2) L’article 17 de la directive 2016/680 est-il conforme [à l’article] 47 et [à l’article] 8, paragraphe 3, de la [Charte], tels qu’ils sont interprétés par la [Cour] en ce qu’il n’oblige l’autorité de contrôle – qui exerce les droits de la personne concernée envers le responsable du traitement – qu’à informer cette personne “qu’elle a procédé à toutes les vérifications nécessaires ou à un examen” et “de son droit de former un recours juridictionnel”, alors que pareille information ne permet
aucun contrôle a posteriori sur l’action et l’appréciation de l’autorité de contrôle au regard des données de la personne concernée et des obligations qui pèsent sur le responsable du traitement ? »
32. Des observations écrites ont été déposées par les requérants au principal, le gouvernement belge, le gouvernement tchèque, la Commission européenne ainsi que le Parlement européen. La Cour a posé un certain nombre de questions écrites au gouvernement belge pour réponse écrite. Ce gouvernement a répondu le 13 mars 2023. Les requérants et la partie défenderesse au principal, le gouvernement français ainsi que la Commission et le Parlement européen ont participé à l’audience qui s’est tenue le
29 mars 2023.
Analyse
Observations liminaires
33. Les questions préjudicielles portent, en substance, sur le contrôle juridictionnel d’une action d’une autorité de contrôle, ainsi que sur la portée et l’efficacité de ce contrôle dans l’hypothèse où cette autorité exerce les droits de la personne concernée au nom de cette dernière, c’est-à-dire lorsque ces droits sont exercés indirectement. La juridiction de renvoi n’a pas remis en cause la structure, en tant que telle, du régime belge d’accès indirect des personnes concernées. Toutefois, le
droit à un recours effectif est nécessairement affecté par un système dans lequel l’accès des personnes concernées est pratiquement impossible ou excessivement difficile. Il importe donc, à titre liminaire, de décrire brièvement la structure des droits des personnes concernées au titre de la directive 2016/680, avant d’examiner de quelle manière le régime belge d’accès indirect s’insère dans cette structure.
Les droits des personnes concernées en vertu de la directive 2016/680 et les limitations de ces droits
34. Le droit d’accès aux données collectées et le droit d’obtenir leur rectification constituent un élément essentiel du droit à la protection des données à caractère personnel consacré à l’article 8, paragraphe 2, de la Charte. De manière générale, le droit d’accès poursuit deux objectifs principaux, à savoir « renforcer la transparence et faciliter le contrôle » ( 9 ). En effet, comme le souligne la doctrine, ce droit d’accès renforce la transparence parce qu’il fournit « un deuxième niveau
d’information, plus approfondi et plus détaillé, auquel peut accéder la personne concernée » ( 10 ). Le droit d’accès facilite le contrôle, puisqu’il constitue une condition préalable à l’exercice d’autres droits, à savoir le droit de rectification ou d’effacement des données à caractère personnel ou le droit de former un recours juridictionnel ( 11 ).
35. Il ressort du considérant 7 de la directive 2016/680 que celle-ci vise à assurer la protection effective des données à caractère personnel dans l’ensemble de l’Union, ce qui exige de renforcer les droits des personnes concernées et les obligations de ceux qui traitent les données à caractère personnel, ainsi que les pouvoirs équivalents de suivi et de contrôle du respect des règles de protection des données à caractère personnel dans les États membres. Il s’agit d’une avancée importante par
rapport à l’ancien régime prévu par la décision-cadre 2008/977. Le champ d’application de cette décision-cadre était limité au traitement transfrontière des données. En outre, elle reflétait les « spécificités de la structure de [l’Union] en piliers antérieure au traité de Lisbonne » ( 12 ) et laissait « aux États membres une très grande marge de manœuvre » ( 13 ). Par rapport à ce régime antérieur, le chapitre III de la directive 2016/680 prévoit une « nouvelle architecture des droits des
personnes concernées, le principe étant qu’elles ont un droit à l’information, à l’accès, à la rectification, à l’effacement ou à la limitation du traitement, à moins que ces droits ne soient restreints » ( 14 ).
36. Plus particulièrement, l’article 13 de la directive 2016/680 prévoit que les responsables du traitement mettent certaines informations à la disposition des personnes concernées (ci-après le « droit à l’information »). L’article 14 de cette directive établit que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées et, le cas échéant, l’accès aux données à caractère personnel et à certaines informations
(ci-après le « droit d’accès »). L’article 16 de ladite directive prévoit que la personne concernée a le droit d’obtenir du responsable du traitement la rectification des données à caractère personnel la concernant qui sont inexactes ainsi que le droit à l’effacement des données à caractère personnel ou, le cas échéant, à la limitation du traitement (le « droit de rectification, d’effacement ou de limitation du traitement »). La personne concernée peut, en principe, exercer directement ses
droits.
37. La directive 2016/680 permet aux États membres d’adopter des mesures législatives limitant, entièrement ou partiellement, les droits des personnes concernées dans les conditions prévues à l’article 13, paragraphe 3, à l’article 15 et à l’article 16, paragraphe 4, de la directive 2016/680. En substance, de telles mesures sont autorisées « dès lors et aussi longtemps » qu’elles constituent « une mesure nécessaire et proportionnée dans une société démocratique, [...] tenant dûment compte des droits
fondamentaux et des intérêts légitimes de la personne physique concernée », afin de préserver un objectif déterminé d’intérêt public, à savoir éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires, éviter de nuire à la prévention ou à la détection d’infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l’exécution de sanctions pénales, protéger la sécurité publique, protéger la sécurité nationale ou protéger les droits et libertés d’autrui.
Les États membres peuvent, en vertu de l’article 13, paragraphe 4, et de l’article 15, paragraphe 2, de la directive 2016/680, adopter des mesures législatives afin de déterminer des catégories de traitements susceptibles de relever, dans leur intégralité ou en partie, de l’un de ces objectifs.
38. En cas de limitation du droit d’accès, le responsable du traitement doit, conformément à l’article 15, paragraphe 3, de la directive 2016/680, informer la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d’accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l’un des objectifs énoncés à l’article 15, paragraphe 1, de cette directive. Le responsable du
traitement doit informer la personne concernée des possibilités d’introduire une réclamation auprès d’une autorité de contrôle ou de former un recours juridictionnel. En outre, en vertu de l’article 15, paragraphe 4, de ladite directive, lorsque le droit d’accès est limité ou refusé, le responsable du traitement doit consigner les motifs de fait ou de droit sur lesquels se fonde la décision et mettre ces informations à la disposition des autorités de contrôle.
39. Il résulte de la structure des droits de la personne concernée prévue au chapitre III de la directive 2016/680 que la règle générale est que, dans le domaine répressif, les personnes concernées disposent de droits concernant la protection de leurs données et qu’elles peuvent exercer ces droits directement. Toute limitation de ces droits constitue une exception. Selon une jurisprudence constante, une exception à une règle générale doit faire l’objet d’une interprétation stricte ( 15 ). En outre,
les limitations sont soumises à des restrictions tenant à l’obligation de motiver les limitations imposées et d’en informer dûment la personne concernée. Ce n’est qu’à titre exceptionnel qu’une telle information peut être omise.
40. La même corrélation entre la règle et l’exception s’applique également en ce qui concerne la possibilité offerte aux États membres de déterminer des « catégories de traitements » qui peuvent être considérées, en tout ou en partie, comme relevant d’objectifs d’intérêt général, permettant ainsi de limiter l’exercice des droits des personnes concernées au titre de l’article 13, paragraphe 3, ou de l’article 15, paragraphe 1, de la directive 2016/680. Comme l’a souligné en substance le groupe de
travail Article 29 ( 16 ) dans son avis sur la directive 2016/680, la possibilité donnée aux États membres de déterminer ces catégories de traitements ne permet pas de soumettre à des « limitations générales » les droits des personnes concernées en matière d’information et d’accès ( 17 ). De telles limitations générales feraient primer l’exception sur la règle, ce qui viderait largement de leur portée les dispositions consacrant les droits de la personne concernée ( 18 ).
L’exercice indirect des droits de la personne concernée
41. Le droit de la personne concernée de contacter directement le responsable du traitement afin d’exercer ses droits est une caractéristique importante de la directive 2016/680. Cette directive garantit « par principe » ( 19 ) l’exercice direct des droits des personnes concernées. Ces dernières bénéficient d’un droit d’accès direct, à moins qu’une limitation ne s’applique. Lorsqu’une limitation s’applique et que le droit d’accès direct n’est donc plus disponible, la personne concernée peut exercer
ses droits indirectement par l’intermédiaire de l’autorité de contrôle compétente, conformément à l’article 17, paragraphe 1, de la directive 2016/680.
42. Comme l’ont relevé le gouvernement français ainsi que la Commission, et comme le souligne également le groupe de travail Article 29 dans son avis sur la directive 2016/680, l’exercice indirect des droits par l’intermédiaire de l’autorité compétente constitue une garantie supplémentaire offerte aux personnes concernées lorsque des limitations s’appliquent ( 20 ). La définition de l’exercice indirect des droits en tant que garantie supplémentaire représente une avancée importante par rapport à la
situation antérieure au titre de la décision-cadre 2008/977 ( 21 ). En effet, en vertu de cette décision-cadre, l’accès indirect était placé sur un pied d’égalité avec l’accès direct ( 22 ). L’objectif même de l’harmonisation que poursuit la directive 2016/680 se trouverait contrarié si, en dépit des développements qu’a marqués cette directive quant à la structure des droits des personnes concernées, les États membres prévoyaient l’accès indirect, non pas comme une voie supplémentaire pour les
personnes concernées, mais comme la seule voie leur étant ouverte.
Le régime d’exercice indirect prévu à l’article 42 de la LPD
43. L’article 17 de la directive 2016/680 est transposé en droit belge à l’article 42 de la LPD. La première phrase de l’article 42 de la LPD dispose que les demandes d’exercer les droits à l’égard des services de police doivent être adressées à l’Organe de contrôle de l’information policière. L’article 42, deuxième phrase, de la LPD prévoit que, lorsque le responsable du traitement limite ou refuse l’accès, cette autorité de contrôle communique uniquement à la personne concernée qu’il a été procédé
aux vérifications nécessaires.
44. Il me semble que l’article 42 de la LPD établit un régime dérogeant au principe de l’exercice direct des droits des personnes concernées à l’égard de l’ensemble des données traitées par les services de police. En effet, compte tenu de la portée extrêmement large des données auxquelles s’applique le régime dérogatoire, ce régime établit une exception générale au droit d’accès direct. Comme je l’ai expliqué aux points précédents des présentes conclusions dans mes observations liminaires, une
exception aussi large et générale au droit d’accès direct ne peut être jugée compatible avec la directive 2016/680 ( 23 ). Ainsi que l’a relevé en substance le Conseil d’État (Belgique) dans son avis relatif au projet de LPD, le fait de transformer la faculté, pour la personne concernée, d’exercer ses droits de manière indirecte en une possibilité pour le législateur d’imposer un tel mode d’action aux personnes concernées est contraire à l’article 17 de la directive 2016/680 ( 24 ).
45. Substituer, au titre de l’article 42 de la LPD, un accès indirect à l’accès direct est encore plus problématique si l’on considère les pouvoirs limités de l’Organe de contrôle de l’information policière. Interrogé sur ce point lors de l’audience, le conseil de cette autorité a confirmé que, dans le cadre de l’exercice indirect des droits de la personne concernée, l’Organe de contrôle de l’information policière peut uniquement informer la personne concernée qu’il a été procédé à toutes les
vérifications nécessaires. Or, il convient de rappeler que le régime d’accès indirect est l’exception, laquelle présuppose que les droits des personnes concernées soient limités conformément aux conditions énoncées dans la directive 2016/680. Dans le système belge, en revanche, la personne concernée est tenue de demander à l’autorité de contrôle d’exercer ses droits en ce qui concerne les données traitées par les services de police. Elle n’a pas la possibilité d’accéder aux données la concernant
et ne peut obtenir qu’une confirmation qu’il a été procédé aux vérifications nécessaires. Le législateur national semble avoir établi un postulat, s’écartant de la directive 2016/680 et voulant que, pour l’ensemble des données traitées par la police, les droits des personnes concernées soient toujours limités et que l’accès direct ne soit pas possible.
46. Eu égard aux considérations qui précèdent, j’estime que l’article 42 de la LPD soumet les droits à un régime d’exercice indirect qui est incompatible avec la façon dont la directive 2016/680 organise l’exercice des droits des personnes concernées. C’est à la lumière de ces considérations que j’examinerai les questions préjudicielles.
Sur la première question préjudicielle
47. Tout d’abord, il convient de rappeler que, selon une jurisprudence constante, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler la question qui lui est soumise. À cette fin, la Cour peut extraire de l’ensemble des éléments
fournis par la juridiction nationale, notamment de la motivation de la décision de renvoi, les éléments du droit de l’Union qui appellent une interprétation compte tenu de l’objet du litige au principal ( 25 ).
48. Dans la présente affaire, il ressort de la décision de renvoi que, par sa première question, la juridiction nationale cherche à obtenir une interprétation de l’article 17 de la directive 2016/680. Elle demande, en substance, si cette disposition, lue à la lumière de l’article 47 et de l’article 8, paragraphe 3, de la Charte, doit être interprétée en ce sens qu’elle exige que la personne concernée dispose d’un recours juridictionnel contre une autorité de contrôle indépendante lorsqu’elle exerce
ses droits par l’intermédiaire de cette autorité.
49. À titre liminaire, il convient de relever que la juridiction de renvoi pose cette question parce qu’elle considère que le droit belge ne prévoit pas le droit de former un recours juridictionnel contre une autorité de contrôle lorsque cette dernière exerce indirectement les droits de la personne concernée. À cet égard, elle souligne, premièrement, que cette disposition n’a pas été correctement transposée en droit national, dès lors que l’article 42 de la LPD ne prévoit pas d’obligation pour
l’autorité de contrôle d’informer la personne concernée de son droit de former un recours juridictionnel. Secondement, la juridiction de renvoi estime qu’aucune autre disposition de la LPD, en particulier les articles 209 et suivants ainsi que l’article 240, ne permet à la personne concernée de former un recours contre l’autorité de contrôle en cas d’exercice indirect de ses droits ( 26 ).
50. Dans ses observations écrites, le gouvernement belge a fait valoir que, indépendamment de l’interprétation de l’article 209, deuxième phrase, de la LPD, l’ordre juridique belge prévoit un contrôle juridictionnel effectif dans les circonstances de l’affaire au principal. Il soutient à cet égard que les voies de recours particulières prévues par la LPD sont sans préjudice de la compétence générale des juridictions civiles. Cela étant, c’est à juste titre que le gouvernement belge rappelle que,
selon une jurisprudence constante, la Cour est uniquement habilitée à se prononcer sur l’interprétation ou la validité d’un texte de l’Union, à partir des faits qui lui sont indiqués par la juridiction nationale. En revanche, il appartient exclusivement à la juridiction de renvoi d’interpréter la législation nationale ( 27 ).
Les voies de recours dont dispose la personne concernée
51. Afin de déterminer si une personne concernée a le droit de former un recours juridictionnel contre l’autorité de contrôle en cas d’exercice indirect de ses droits, il convient de rappeler que la directive 2016/680 prévoit, à son chapitre VIII, un certain nombre de voies de recours ouvertes aux personnes concernées. Ces dernières ont le droit d’introduire une réclamation auprès d’une autorité de contrôle en vertu de l’article 52 de la directive 2016/680. L’article 53, paragraphe 1, de la
directive 2016/680 prévoit que les personnes concernées disposent d’un droit de recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui les concernent. L’article 53, paragraphe 2, de cette directive prévoit que toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle ne traite pas une réclamation ou n’informe pas la personne concernée dans un délai de trois mois de l’état d’avancement ou
de l’issue de la réclamation. En outre, les personnes concernées ont droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant lorsqu’elles considèrent que leurs droits ont été violés à la suite d’un traitement illicite de leurs données à caractère personnel. Toutes ces dispositions prévoient que chacune de ces voies de recours est ouverte « sans préjudice de tout autre recours administratif ou extrajudiciaire ».
52. En ce qui concerne le droit à un recours juridictionnel effectif contre l’autorité de contrôle, le considérant 86 de la directive 2016/680 énonce que toute personne peut exercer ce droit contre une « décision d’une autorité de contrôle qui produit des effets juridiques à son égard ». Le même considérant précise qu’une telle décision concerne, notamment, l’exercice des pouvoirs d’enquête, de correction et d’autorisation par l’autorité de contrôle ou le refus ou le rejet de réclamations, mais que
le droit à un recours juridictionnel effectif ne couvre pas « d’autres mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par l’autorité de contrôle ».
53. Il résulte de l’article 53, paragraphe 1, de la directive 2016/680, lu à la lumière de son considérant 86, que la personne concernée a le droit de contester une décision ou une mesure d’une autorité de contrôle qui produit des effets juridiques contraignants.
54. À cet égard, il convient de rappeler que le droit à un recours juridictionnel effectif, consacré à l’article 47 de la Charte, doit être reconnu à toute personne qui se prévaut de droits ou de libertés garantis par le droit de l’Union contre une décision lui faisant grief, de nature à porter atteinte à ces droits ou à ces libertés ( 28 ).
55. Il y a ensuite lieu de relever que les actes faisant grief sont « les actes ou mesures produisant des effets juridiques obligatoires de nature à affecter directement et immédiatement les intérêts du requérant en modifiant, de façon caractérisée, la situation juridique de celui-ci » ( 29 ). À cet égard, il y a lieu de s’attacher à la substance de cet acte et d’apprécier ces effets au regard de critères objectifs, tels que le contenu dudit acte, en tenant compte, le cas échéant, du contexte de
l’adoption de ce dernier ainsi que des pouvoirs de l’institution qui en est l’auteur ( 30 ).
Les pouvoirs de l’autorité de contrôle dans le cadre de l’exercice indirect de droits
56. À la lumière des éléments qui déterminent un acte faisant grief, il convient, pour déterminer si une autorité de contrôle adopte une décision juridiquement contraignante lorsqu’elle exerce indirectement les droits de la personne concernée conformément à l’article 17 de la directive 2016/680, d’examiner le contenu ou la substance de l’acte d’une autorité de contrôle, en tenant compte du contexte de l’acte et des pouvoirs de cette autorité.
57. S’agissant, d’abord, de la substance de l’acte de l’autorité de contrôle, il convient de préciser d’emblée que la capacité d’un acte à produire directement des effets sur la situation juridique d’une personne physique ou morale ne saurait être appréciée au regard du seul fait que cet acte revêt la forme d’un courrier électronique (comme c’était le cas dans l’affaire au principal), dès lors que cela reviendrait à faire primer la forme de l’acte faisant l’objet du recours sur la substance même de
cet acte ( 31 ).
58. L’article 17, paragraphe 1, de la directive 2016/680 prévoit que les droits de la personne concernée peuvent être exercés « par l’intermédiaire » de l’autorité de contrôle compétente. Le considérant 48 de cette directive énonce que l’autorité de contrôle agit « au nom » de la personne concernée. Aux termes de l’article 17, paragraphe 3, de cette directive, l’autorité de contrôle « informe » au moins la personne concernée du fait qu’elle a procédé à toutes les vérifications nécessaires ou à un
examen.
59. L’Organe de contrôle de l’information policière fait valoir qu’il découle du libellé de ces dispositions qu’une autorité de contrôle ne fait qu’exercer un mandat au nom et pour le compte de la personne concernée, en agissant comme un « messager » qui se borne à fournir des informations à la personne concernée. Elle en conclut que l’acte qu’elle adopte ne saurait être considéré comme produisant des effets de droit obligatoires à l’égard de la personne concernée. Le gouvernement tchèque avance un
argument analogue.
60. Je ne conteste pas que la formulation utilisée en ce qui concerne l’exercice des droits de la personne concernée « par l’intermédiaire » de l’autorité de contrôle, ou de l’autorité de contrôle agissant « au nom » de la personne concernée, prise isolément, puisse être comprise en ce sens que l’autorité de contrôle a simplement pour mandat de fournir des informations.
61. Toutefois, je considère qu’un examen du contexte de l’acte et des pouvoirs de l’autorité de contrôle ne confirme pas la thèse de l’existence d’un simple mandat. Dans le cadre de l’exercice indirect des droits de la personne concernée, le rôle de l’autorité de contrôle va bien au-delà du fait d’agir à la manière d’un « agent » de la personne concernée, d’un « messager » ou d’un intermédiaire. Comme je le démontrerai, le législateur de l’Union a bien accordé à l’autorité de contrôle un rôle moteur
et actif dans la vérification de la licéité d’un traitement de données qui ne peut être effectué que par une autorité publique.
62. Plus précisément, ainsi que l’ont fait valoir la Commission et le gouvernement belge, l’article 17 de la directive 2016/680 doit être lu en combinaison avec les dispositions de la section 2 du chapitre VI de cette directive, qui énonce les règles relatives à la compétence, aux missions et aux pouvoirs des autorités de contrôle indépendantes. L’article 46, paragraphe 1, sous g), de ladite directive prévoit que l’autorité de contrôle « vérifie la licéité du traitement en vertu de l’article 17, et
informe la personne concernée dans un délai raisonnable de l’issue de la vérification, conformément au paragraphe 3 dudit article, ou des motifs ayant empêché sa réalisation ».
63. Le gouvernement belge a souligné à juste titre, dans sa réponse à une question écrite de la Cour, que la mission spécifique consistant à vérifier la licéité du traitement démontre que le rôle d’une autorité de contrôle ne se borne pas à celui d’un simple « messager » entre la personne concernée et le responsable du traitement. Cette autorité procède au contraire à une appréciation juridique adéquate de la licéité du traitement.
64. En outre, afin d’exercer son rôle consistant à vérifier en toute indépendance la licéité du traitement, chaque autorité de contrôle dispose de certains pouvoirs d’exécution conformément à l’article 47 de la directive 2016/680. Il s’agit de « pouvoirs d’enquête effectifs », qui comprennent au moins celui « d’obtenir du responsable du traitement ou du sous-traitant l’accès à toutes les données à caractère personnel qui sont traitées », ainsi que des pouvoirs « en matière d’adoption de mesures
correctrices », y compris le pouvoir d’ordonner la rectification ou l’effacement de données à caractère personnel, ou la limitation du traitement. En outre, conformément à l’article 47, paragraphe 5, de cette directive, les autorités de contrôle ont le pouvoir d’ester en justice afin de faire respecter les règles en matière de protection des données adoptées en application de la directive 2016/680. Je partage la thèse de la Commission, qui a souligné, à cet égard, que l’autorité de contrôle ne
peut exercer ces pouvoirs qu’en son nom propre en tant qu’autorité publique, et non en tant que simple agent ou au nom de la personne concernée.
65. Lorsque l’autorité de contrôle informe la personne concernée de l’issue de la vérification qu’elle a effectuée conformément à l’article 17, paragraphe 3, et à l’article 46, paragraphe 1, sous g), de la directive 2016/680, elle est nécessairement parvenue à la fin du processus décisionnel en ce qui concerne la licéité du traitement. La situation juridique de la personne concernée est donc affectée, premièrement, par la question de savoir si l’autorité de contrôle a correctement exécuté la mission
qui lui incombe de « vérifier la licéité du traitement en vertu de l’article 17 » et, secondement, par la conclusion à laquelle cette autorité est parvenue en suivant ce processus.
66. Le fait de reconnaître à l’autorité de contrôle un rôle autonome au titre de l’article 17 de la directive 2016/680, par opposition à un rôle de simple intermédiaire, est corroboré par une interprétation de la directive à la lumière de la Charte. L’article 8, paragraphe 3, de la Charte confie à une autorité indépendante le contrôle du respect des règles relatives à la protection des données et plus particulièrement du droit d’accès aux données. Le rôle des autorités chargées de la protection des
données est revêtu d’une portée constitutionnelle du fait qu’il est mentionné dans la Charte. Le rôle consistant à surveiller et à assurer le respect de l’application de la directive 2016/680 incombe à l’autorité de contrôle. Une interprétation selon laquelle cette autorité agit séparément de la personne concernée lorsqu’elle exerce indirectement les droits de celle-ci promeut le rôle constitutionnel de l’autorité de contrôle.
67. En outre, si l’on admettait que l’autorité de contrôle agit simplement à la manière d’une « agente », cette autorité serait alors tenue de faire rapport à la personne concernée, considérée comme sa commettante. Or, l’Organe de contrôle de l’information policière fait valoir qu’il n’a pas le pouvoir de fournir davantage d’informations à la personne concernée. Cette approche conduit à une situation particulière dans laquelle un agent serait mieux informé que sa commettante.
68. Lors de l’audience, le gouvernement français a fait valoir, en substance, que, contrairement à la situation dans laquelle une autorité traite les réclamations en vertu de l’article 46, paragraphe 1, sous f), de la directive 2016/680, cette autorité ne dispose, dans le cadre de l’article 46, paragraphe 1, sous g), de cette directive, d’aucun pouvoir à l’égard du responsable du traitement. Selon le gouvernement français, dès lors que la personne concernée n’a pas de pouvoirs à l’égard du
responsable du traitement lorsqu’elle exerce directement ses droits, elle ne saurait jouir de tels pouvoirs lorsqu’elle exerce indirectement ses droits par l’intermédiaire de l’autorité de contrôle. Le gouvernement français a soutenu que l’article 47 de la directive 2016/680 ne concerne que les pouvoirs exercés par l’autorité de contrôle pour son propre compte, mais non pas les compétences exercées au nom de la personne concernée.
69. L’analyse du gouvernement français se fonde, en substance, sur la thèse selon laquelle l’autorité de contrôle agit simplement comme un intermédiaire de la personne concernée. Pour les raisons exposées précédemment dans les présentes conclusions, je ne partage pas une interprétation aussi réductrice du rôle de l’autorité de contrôle. L’exercice indirect des droits de la personne concernée doit présenter une valeur ajoutée, qui constitue une garantie supplémentaire et une protection pour la
personne concernée. Si l’autorité devait, en toutes circonstances, simplement confirmer qu’elle a procédé aux vérifications nécessaires, sans être en mesure d’exercer ses pouvoirs, son rôle de vérification de la licéité du traitement aurait une valeur ajoutée limitée.
70. À cet égard, l’article 17 de la directive 2016/680 prévoit que l’autorité de contrôle informe « au moins » la personne concernée du fait qu’elle a procédé à toutes les vérifications nécessaires. Cela signifie que, dans certaines circonstances, l’autorité de contrôle peut ou doit aller au-delà de telles informations minimales. Cette interprétation est corroborée par l’article 46, paragraphe 1, sous g), de la directive 2016/680, qui confie à l’autorité de contrôle la mission de vérifier la licéité
du traitement en vertu de l’article 17 de la directive 2016/680 et d’informer la personne concernée de l’issue de la vérification, conformément au paragraphe 3 de cet article. L’« issue de la vérification » comprend la fourniture des informations minimales, mais ne s’y limite pas toujours.
71. Comme l’a souligné la Commission, l’article 17 de la directive 2016/680 confère une marge d’appréciation à l’autorité de contrôle. Il ne confère pas aux États membres de pouvoir discrétionnaire de réduire le rôle de l’autorité à celui d’un messager, ou de supprimer entièrement la marge d’appréciation de cette autorité en prévoyant qu’elle fournit uniquement les informations minimales. En effet, si un État membre pouvait s’écarter de la directive 2016/680 et conférer moins de pouvoirs aux
autorités de contrôle, cela porterait gravement atteinte à l’objectif tendant à renforcer les droits des personnes concernées et à harmoniser les pouvoirs de suivi et de contrôle du respect des règles relatives à la protection des données dans les États membres. Elle porterait également atteinte à l’objectif que poursuit cette directive, qui vise à renforcer la transparence et le contrôle.
72. Lors de l’audience, l’Organe de contrôle de l’information policière a fait part de son inquiétude quant à la reconnaissance d’un rôle allant au-delà du simple exercice d’un mandat au nom de la personne concernée. Il a fait valoir que, dans le cadre de l’article 17 de la directive 2016/680, l’autorité de contrôle ne peut pas décider de l’opportunité d’un acte du responsable du traitement et qu’il ne peut pas mettre en balance les intérêts en présence dans la communication des informations
pertinentes. Cette autorité a fait valoir qu’elle se trouverait sinon obligée de se substituer au responsable du traitement, ce qui irait à l’encontre de son indépendance.
73. À cet égard, la marge d’appréciation dont dispose l’autorité de contrôle au titre de l’article 17 de la directive 2016/680 ne devrait pas s’entendre comme un pouvoir de se substituer au responsable du traitement et de donner automatiquement accès aux informations que ce dernier a refusé de communiquer. En vertu de son indépendance, l’autorité de contrôle engage un dialogue confidentiel avec le responsable du traitement afin de vérifier la licéité du traitement. Ainsi que la Commission l’a fait
valoir en substance, ce dialogue peut être déduit de l’obligation du responsable du traitement que prévoit l’article 15, paragraphe 4, de la directive 2016/680 de mettre à la disposition de l’autorité de contrôle les motifs de fait ou de droit sur lesquels est fondée la décision de limiter le droit d’accès.
74. Dans le cadre de ce dialogue, si l’autorité de contrôle estime que les limitations des droits de la personne concernée ne sont pas justifiées, elle doit donner au responsable du traitement la possibilité de remédier à cette situation. À la suite de ce dialogue, l’article 17, paragraphe 3, de la directive 2016/680 confère à l’autorité de contrôle une marge d’appréciation quant à l’étendue des informations qu’elle peut communiquer à la personne concernée sur l’issue de sa vérification. La
détermination de l’étendue des informations qu’elle peut communiquer doit être appréciée au cas par cas, conformément au principe de proportionnalité. En outre, l’autorité de contrôle doit être en mesure d’assurer le respect des règles de la directive 2016/680 et d’exercer les pouvoirs prévus à l’article 47 de celle-ci. Cette disposition ne prévoit aucune limitation quant à l’exercice de ces compétences dans le cadre de l’article 17 de cette directive. Au contraire, les pouvoirs effectifs de
l’autorité de contrôle sont un puissant et nécessaire contrepoids à la limitation du droit d’accès de la personne concernée.
La hiérarchie des recours juridictionnels
75. Enfin, l’Organe de contrôle de l’information policière et le gouvernement tchèque ont avancé un argument concernant la hiérarchie des recours juridictionnels. Ils soutiennent, en substance, que, dans le cadre de l’exercice indirect de droits par l’intermédiaire de l’autorité de contrôle, le droit de former un recours juridictionnel doit être exercé contre le responsable du traitement, conformément à l’article 54 de la directive 2016/680, et non contre l’autorité de contrôle, sauf si cette
dernière s’abstient d’agir.
76. À cet égard, il convient de relever qu’il ne ressort d’aucune des dispositions de la directive 2016/680 que les voies de recours prévues par cette directive s’excluent mutuellement. Du libellé des articles 52, 53 et 54 de la directive 2016/680 que l’on a mentionné ci-dessus ( 32 ), il résulte au contraire que ces dispositions offrent des voies de recours différentes aux personnes invoquant une violation de ce régime, étant entendu que chacune de ces voies de recours doit pouvoir être exercée
« sans préjudice » des autres ( 33 ). Il convient de rappeler que, s’agissant de l’articulation des voies de recours prévues par le règlement (UE) 2016/679 ( 34 ), la Cour a jugé, dans son arrêt Nemzeti, que ce règlement « ne prévoit pas de compétence prioritaire ou exclusive ni aucune règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions qui y sont visées quant à l’existence d’une violation des droits conférés par ce règlement » ( 35 ).
77. À l’inverse de la thèse adoptée par le gouvernement français et l’Organe de contrôle de l’information policière, je considère que le raisonnement suivi dans l’arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2), s’applique par analogie aux voies de recours prévues par la directive 2016/680. Premièrement, les voies de recours dont dispose la personne concernée à l’égard de l’autorité de contrôle et du responsable du traitement en vertu du règlement
2016/679 et de la directive 2016/680 sont similaires. Deuxièmement, le considérant 7 de la directive 2016/680 précise qu’une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer les droits des personnes concernées ( 36 ). La mise à disposition d’un certain nombre de voies de recours renforce l’objectif, également énoncé au considérant 85 de la directive 2016/680, de garantir à toute personne concernée estimant que les droits que lui confère cette
directive sont violés de disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte.
78. Il convient également de souligner que le recours contre l’autorité de contrôle et le recours contre le responsable du traitement ont des finalités différentes. D’une part, ainsi que l’a relevé à juste titre la Commission, un recours formé contre la décision du responsable du traitement de limiter les droits de la personne concernée a pour finalité d’obtenir un contrôle juridictionnel de la bonne application de l’article 13, paragraphe 3, de l’article 15, paragraphe 3, et de l’article 16,
paragraphe 4, de la directive 2016/680. D’autre part, un recours introduit contre l’autorité de contrôle a pour finalité d’obtenir un contrôle juridictionnel de la bonne application de l’article 17 et de l’article 46, paragraphe 1, sous g), de la directive 2016/680, ce qui implique d’examiner si cette autorité de contrôle a correctement exécuté sa mission consistant à vérifier la licéité du traitement.
79. Il convient également de relever que le système de protection juridictionnelle serait incohérent et incomplet si la personne concernée ne pouvait contester que l’inaction de l’autorité de contrôle alors que les actes de cette autorité et la manière dont celle-ci s’est acquittée de ses obligations seraient exclus du contrôle juridictionnel.
80. En tout état de cause, dans l’affaire au principal, il apparaît impossible d’introduire un recours contre le responsable du traitement. Il ressort de la décision de renvoi que les personnes concernées ne peuvent pas former de recours contre le responsable du traitement, puisque l’exercice de l’ensemble de leurs droits est confié à l’Organe de contrôle de l’information policière. La Ligue des droits humains a d’ailleurs fait valoir que, dans le système belge des bases de données policières, il
est très difficile pour la personne concernée de même identifier le responsable du traitement. Dans de telles circonstances, la personne concernée risque d’être totalement privée d’une protection juridictionnelle effective, puisqu’elle ne sait pas qui est le responsable du traitement et que, même si elle le savait, elle n’aurait pas le droit de s’adresser directement à lui. En outre, elle ne peut pas contester l’action de l’Organe de contrôle de l’information policière. Il me semble que la
personne concernée est confrontée à un système dans lequel « toutes les portes lui sont fermées », ce qui est contraire à la directive 2016/680.
81. Eu égard aux considérations qui précèdent, j’estime que l’article 17 de la directive 2016/680, lu en combinaison avec l’article 46, paragraphe 1, sous g), de cette directive et à la lumière de l’article 47 et de l’article 8, paragraphe 3, de la Charte, doit être interprété en ce sens qu’il exige que la personne concernée dispose d’un recours juridictionnel contre une autorité de contrôle indépendante lorsque cette personne exerce ses droits par l’intermédiaire de cette autorité, dès lors que ce
recours concerne la mission incombant à cette autorité de contrôle de vérifier la licéité du traitement.
Sur la seconde question préjudicielle
82. Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 17 de la directive 2016/680 est compatible avec l’article 8, paragraphe 3, et l’article 47 de la Charte en ce qu’il n’oblige l’autorité de contrôle qu’à informer la personne concernée, d’une part, « qu’elle a procédé à toutes les vérifications nécessaires ou à un examen » et, d’autre part, de « son droit de former un recours juridictionnel », alors que pareille information ne permet aucun contrôle a posteriori
sur l’action et l’appréciation de l’autorité de contrôle à l’égard de cette personne concernée au regard des obligations qui pèsent sur le responsable du traitement.
83. Il convient de rappeler, à titre liminaire, que, selon un principe général d’interprétation, un acte de l’Union doit être interprété, dans la mesure du possible, d’une manière qui ne remet pas en cause sa validité et qui soit en conformité avec l’ensemble du droit primaire et, notamment, avec les dispositions de la Charte. Ainsi, lorsqu’un texte du droit dérivé de l’Union est susceptible de plus d’une interprétation, il convient de donner la préférence à celle qui rend la disposition conforme au
droit primaire plutôt qu’à celle conduisant à constater son incompatibilité avec celui-ci ( 37 ).
84. Ainsi qu’on l’a exposé dans le cadre des observations liminaires et lors de l’analyse de la première question préjudicielle, l’article 17 de la directive 2016/680 prévoit que la personne concernée peut exercer indirectement ses droits par l’intermédiaire de l’autorité de contrôle compétente lorsque ces droits sont limités en vertu de l’article 13, paragraphe 3, de l’article 15, paragraphe 3, et de l’article 16, paragraphe 4, de la directive 2016/680. Les limitations des droits de la personne
concernée ne sont permises que si elles constituent une mesure nécessaire et proportionnée dans une société démocratique, en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, afin de sauvegarder un objectif spécifique d’intérêt public énoncé dans ces dispositions.
85. La question qui se pose est celle de savoir dans quelle mesure le contenu des informations fournies par l’autorité de contrôle exerçant indirectement les droits de la personne concernée permet à celle-ci d’exercer son droit à un recours juridictionnel effectif en vertu de l’article 47, premier alinéa, de la Charte.
86. À cet égard, j’ai déjà rappelé, en analysant la première question préjudicielle, que le droit à un recours juridictionnel effectif, consacré à l’article 47 de la Charte, doit être reconnu à toute personne qui se prévaut de droits ou de libertés garantis par le droit de l’Union contre une décision lui faisant grief, de nature à porter atteinte à ces droits ou à ces libertés ( 38 ).
87. Il importe toutefois de garder à l’esprit que le droit à une protection juridictionnelle effective n’est pas un droit absolu et que, conformément à l’article 52, paragraphe 1, de la Charte, des limitations peuvent lui être apportées, à condition, premièrement, que ces limitations soient prévues par la loi, deuxièmement, qu’elles respectent le contenu essentiel des droits et libertés en cause et, troisièmement, que, dans le respect du principe de proportionnalité, elles soient nécessaires et
répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et libertés d’autrui ( 39 ).
88. Dans le cadre de l’exercice indirect des droits par l’intermédiaire de l’autorité de contrôle, il convient de souligner que la possibilité d’un exercice indirect est déclenchée par la limitation des droits de la personne concernée. L’autorité de contrôle est chargée d’agir lorsque, à titre exceptionnel, un droit est limité, y compris lorsque, selon les circonstances, le responsable du traitement omet de fournir des informations sur les raisons de cette limitation ( 40 ). Comme je l’ai amplement
démontré en analysant la première question préjudicielle, le rôle de l’autorité de contrôle est non pas, lorsqu’elle exerce cette mission, d’agir en tant que simple « messager », mais bien de garantir la licéité du traitement.
89. Le niveau d’information que l’autorité de contrôle peut communiquer à la personne concernée dépend nécessairement des raisons qui ont déclenché la limitation du droit d’accès. Plus les raisons de la limitation et, le cas échéant, de l’omission d’informations, sont graves, moins l’autorité de contrôle pourra fournir d’informations. Contrairement à la présomption qui sous-tend le libellé de la question préjudicielle, il ne découle pas de l’article 17, paragraphe 3, de la directive 2016/680 que
l’autorité de contrôle puisse « uniquement », en toutes circonstances, confirmer qu’il a été procédé aux vérifications nécessaires. L’autorité de contrôle doit au contraire, en vertu de cette disposition, indiquer « au moins » qu’elle a procédé à toutes les vérifications nécessaires ou à un examen.
90. Il s’ensuit que les informations à fournir par l’autorité de contrôle ne peuvent être prédéterminées. En d’autres termes, le contenu minimal prévu à l’article 17, paragraphe 3, de la directive 2016/680 n’est pas le seul contenu possible. Comme l’a souligné la Commission, le niveau d’information doit être établi au cas par cas et peut varier en fonction des circonstances et de la mise en balance des intérêts en présence, à la lumière du principe de proportionnalité. À titre d’illustration, et
ainsi que cela a été à juste titre observé en doctrine ( 41 ), il n’apparaîtrait pas problématique que l’autorité de contrôle informe la personne concernée qu’une erreur orthographique a eu pour conséquence que son nom figure dans une base de données policière.
91. Il convient de relever que la proposition de directive de la Commission relative à la protection des données dans le domaine répressif prévoyait que les autorités de contrôle étaient tenues, outre les informations minimales, d’informer la personne concernée « du résultat concernant la licéité du traitement en question » ( 42 ). Ce dernier élément d’information, à savoir le résultat concernant la licéité du traitement, n’a pas été retenu à l’article 17 de la directive 2016/680. Cela ne signifie
toutefois pas que d’éventuelles violations des règles en matière de protection des données puissent être tolérées. Dans mon analyse de la première question préjudicielle, j’ai souligné que l’autorité de contrôle entame un dialogue confidentiel avec le responsable du traitement. Si l’autorité de contrôle estime que le traitement est illicite, elle donne au responsable du traitement la possibilité de remédier à la situation. Si cependant la situation n’est pas corrigée, l’autorité de contrôle
dispose, en vertu de l’article 47 de la directive 2016/680, de pouvoirs d’exécution qu’il lui appartient d’exercer. Dans une telle situation, il ne suffit pas, selon moi, que l’autorité de contrôle fasse rapport au parlement national, comme l’a suggéré l’Organe de contrôle de l’information policière lors de l’audience. Elle doit exercer son pouvoir de porter les violations des règles en matière de protection des données à la connaissance des autorités judiciaires et, le cas échéant, d’ester en
justice d’une manière ou d’une autre, conformément à l’article 47, paragraphe 5, de la directive 2016/680.
92. L’interprétation selon laquelle l’autorité de contrôle dispose d’une marge d’appréciation lorsqu’elle exerce indirectement les droits de la personne concernée est également corroborée par l’importance constitutionnelle que recouvre le rôle attribué aux autorités de contrôle indépendantes, tel que consacré à l’article 8, paragraphe 3, de la Charte.
93. Cela étant, il peut y avoir des cas où l’autorité de contrôle considère qu’elle ne saurait faire plus que communiquer les informations minimales, à savoir déclarer qu’elle a procédé à toutes les vérifications nécessaires. Dans de telles circonstances, l’exercice du contrôle juridictionnel serait impossible à moins que la juridiction chargée d’apprécier la décision de l’autorité de contrôle ne soit en mesure d’examiner tous les motifs sur lesquels cette décision est fondée, ainsi que la décision
du responsable du traitement de limiter l’accès.
94. À cet égard, il y a lieu de relever, d’une part, que l’article 15, paragraphe 4, de la directive 2016/680 prévoit que le responsable du traitement doit consigner les motifs de fait ou de droit sur lesquels se fonde la décision relative à la limitation du droit d’accès et mettre ces informations à la disposition des autorités de contrôle. Comme l’a souligné le Parlement européen, force est d’admettre que, dès lors que l’autorité de contrôle dispose de ces informations, l’autorité judiciaire
devrait également en disposer si la personne concernée exerce son droit de former un recours contre la décision du responsable du traitement et/ou contre celle de l’autorité de contrôle.
95. D’autre part, dans les cas exceptionnels où le responsable du traitement ne fournit pas d’informations sur les motifs du refus ou de la limitation des droits de la personne concernée, et où l’autorité de contrôle ne fournit que les informations minimales, à savoir qu’il a été procédé à toutes les vérifications nécessaires, le juge compétent de l’État membre concerné doit avoir à sa disposition et mettre en œuvre des techniques et des règles de droit de procédure permettant de concilier, d’une
part, les considérations légitimes de la sûreté de l’État quant à la nature et aux sources des renseignements ayant été pris en considération pour l’adoption d’une telle décision et, d’autre part, la nécessité de garantir à suffisance au justiciable le respect de ses droits procéduraux, tels que le droit d’être entendu ainsi que le principe du contradictoire ( 43 ).
96. À cette fin, conformément à la jurisprudence issue de l’arrêt du 4 juin 2013, ZZ (C‑300/11, EU:C:2013:363), les États membres sont tenus de prévoir, d’une part, un contrôle juridictionnel effectif tant de l’existence et du bien-fondé des raisons invoquées par l’autorité nationale, ainsi que, d’autre part, des techniques et des règles relatives à ce contrôle, telles que visées au point précédent des présentes conclusions ( 44 ).
97. Lors de l’audience, le gouvernement français a fait valoir que le contexte de l’arrêt du 4 juin 2013, ZZ (C‑300/11, EU:C:2013:363), était différent de celui de l’affaire au principal, puisque celui-ci concernait le contrôle juridictionnel d’une décision interdisant à un citoyen de l’Union l’accès au territoire d’un État membre pour des raisons de sécurité publique. À cet égard, il y a lieu de relever que le raisonnement de la Cour dans la jurisprudence issue de l’arrêt du 4 juin 2013, ZZ
(C‑300/11, EU:C:2013:363), qui se fonde sur l’arrêt Kadi ( 45 ), repose sur l’exigence imposant de mettre en balance de manière appropriée les exigences découlant de la sûreté de l’État et celles du droit à une protection juridictionnelle effective. Interrogé lors de l’audience, le conseil du gouvernement français a admis qu’il découle essentiellement de cette jurisprudence qu’il n’y a pas de secret qui tienne face au juge. Je considère donc que cette jurisprudence devrait également s’appliquer,
par analogie, dans le cadre de la directive 2016/680 lorsque les autorités compétentes estiment que des raisons de sécurité nationale ou tout autre motif d’intérêt public susceptible de justifier une limitation des droits des personnes concernées font obstacle à la communication précise et complète des motifs d’une telle décision d’appliquer une limitation.
98. Il résulte des considérations qui précèdent que l’article 17 de la directive 2016/680 est compatible avec l’article 8, paragraphe 3, et l’article 47 de la Charte, dès lors, premièrement, que l’autorité de contrôle peut, selon les circonstances, ne pas se borner à informer la personne concernée qu’elle a procédé à toutes les vérifications nécessaires, et, secondement, que cette personne dispose de la possibilité de soumettre à un contrôle juridictionnel l’action et l’appréciation effectuées par
l’autorité de contrôle à son sujet au regard des obligations qui pèsent sur le responsable du traitement.
99. Compte tenu de ce qui précède, la validité de l’article 17 de la directive 2016/680 n’est pas remise en cause.
Conclusion
100. Eu égard aux considérations qui précèdent, je propose à la Cour d’apporter la réponse suivante à la cour d’appel de Bruxelles (Belgique) :
1) L’article 17 de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, lu en combinaison
avec l’article 46, paragraphe 1, sous g), de cette directive et à la lumière de l’article 47 et de l’article 8, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
il exige que la personne concernée dispose d’un recours juridictionnel contre une autorité de contrôle indépendante dans le cas où elle exerce ses droits par l’intermédiaire de cette autorité, dès lors que ce recours concerne la mission incombant à ladite autorité de vérifier la licéité du traitement.
2) La validité de l’article 17 de la directive 2016/680 n’est pas remise en cause.
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( 1 ) Langue originale : l’anglais.
( 2 ) Directive du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).
( 3 ) Voir considérant 10 de la directive 2016/680.
( 4 ) Voir considérant 2 de la directive 2016/680.
( 5 ) Voir considérant 4 de la directive 2016/680.
( 6 ) Brewczyńska, M., « A critical reflection on the material scope of the application of the Law Enforcement Directive and its limitations with the General Data Protection Law », dans Kosta, E., Leenes, R., et Kamara, I. (éd.), Research Handbook on EU data protection law, Edward Elgar, 2022, p. 105.
( 7 ) Décision-cadre du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale (JO 2008, L 350, p. 60).
( 8 ) Vogiatzoglou, P., et Marquenie, T., Assessment of the Implementation of the Law Enforcement Directive, étude demandée par la commission des libertés civiles, de la justice et des affaires intérieures (LIBE), Parlement européen, département thématique des droits des citoyens et des affaires constitutionnelles, novembre 2022 [ci-après l’« Assessment of the implementation of the Law Enforcement Directive » (« évaluation de la mise en œuvre de la directive en matière de protection des données dans
le domaine répressif »)], p. 54.
( 9 ) Voir Zanfir-Fortuna, G., « Article 15. Right of access by the data subject », dans Kuner, C, Bygrave, L., et Docksey, C. (éd.), The EU General Data Protection Regulation (RGPD), A Commentary, Oxford University Press, Oxford, 2020, p. 452.
( 10 ) Voir Zanfir-Fortuna, G., « Article 15. Right of access by the data subject », dans Kuner, C, Bygrave, L., et Docksey, C. (éd.), The EU General Data Protection Regulation (RGPD), A Commentary, Oxford University Press, Oxford, 2020, p. 452.
( 11 ) Voir Kranenborg, H., « Article 8 – Protection of personal data », dans Peers, S., e.a. (éd.), The EU Charter of Fundamental Rights, A Commentary, Hart Publishing, Oxford, 2021, p. 272, point 08.171. Voir arrêts du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293, points 51 et 52), ainsi que du 20 décembre 2017, Nowak (C‑434/16, EU:C:2017:994, point 57).
( 12 ) Document de travail des services de la Commission, Résumé de l’analyse d’impact, 25.1.2012 [SEC(2012) 73 final], p. 3.
( 13 ) Proposition de directive du Parlement européen et du Conseil relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données [COM(2012) 10 final, 25 janvier 2012] (ci-après la « proposition de la Commission pour une directive en matière
de protection des données dans le domaine répressif »), p. 2.
( 14 ) Groupe de travail Article 29 sur la protection des données, avis sur certaines questions clés de la directive en matière de protection des données dans le domaine répressif (UE 2016/680), 29 novembre 2017, 17/EN WP 258 (ci-après l’« avis du GT Article 29 sur la directive 2016/680 »), p. 24 (mise en italique par mes soins).
( 15 ) Voir arrêt du 2 mars 2023, Eurocostruzioni (C‑31/21, EU:C:2023:136, point 53 et jurisprudence citée).
( 16 ) Le groupe de travail Article 29 a été institué en vertu de l’article 29 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), en tant qu’organe consultatif de l’Union indépendant sur la protection des données et de la vie privée. Depuis le 25 mai 2018, il a cessé d’exister et a été remplacé par
le contrôleur européen de la protection des données (CEPD).
( 17 ) Avis du GT Article 29 sur la directive 2016/680, p. 18 et 24.
( 18 ) Voir, en ce sens, arrêt du 20 septembre 2022, SpaceNet et Telekom Deutschland (C‑793/19 et C‑794/19, EU:C:2022:702, point 57 et jurisprudence citée).
( 19 ) CEPD, avis no 6/2015, Une nouvelle étape vers une protection européenne complète des données, recommandations du CEPD sur la directive pour la protection des données dans les secteurs police et justice, 28 octobre 2015, p. 7.
( 20 ) Voir avis du GT Article 29 sur la directive 2016/680, p. 23.
( 21 ) Assessment of the implementation of the Law Enforcement Directive, p. 57. Il découle de l’article 17, paragraphe 1, sous a), de la décision-cadre 2008/977 que les personnes concernées pouvaient exercer le droit d’accès à l’égard du responsable du traitement ou de l’autorité de contrôle nationale, et qu’elles pouvaient obtenir confirmation de la transmission des données les concernant et de la communication de ces données, ou, à tout le moins, la confirmation de l’autorité de contrôle
nationale que toutes les vérifications nécessaires avaient eu lieu.
( 22 ) Voir article 17 de la décision-cadre 2008/977.
( 23 ) Je relève que l’Assessment of the implementation of the Law Enforcement Directive, p. 62, considère la transposition du chapitre III de la directive 2016/680 par le législateur belge comme étant la « plus frappante », en ce qu’elle n’offre aux personnes concernées « que la possibilité d’exercer indirectement leurs droits, par l’intermédiaire de l’autorité de contrôle nationale, en contredisant manifestement le libellé de [cette directive] » (mise en italique par mes soins).
( 24 ) Conseil d’État, section de législation, avis 63.192/2, du 19 avril 2018, p. 32 (mise en italique par mes soins).
( 25 ) Voir arrêt du 16 février 2023, Staatssecretaris van Justitie en Veiligheid (Enfant à naître au moment de la demande d’asile) (C‑745/21, EU:C:2023:113, point 43).
( 26 ) Voir points 27 à 30 des présentes conclusions.
( 27 ) Voir, en ce sens, arrêt du 10 juin 2021, Ultimo Portfolio Investment (Luxembourg) (C‑303/20, EU:C:2021:479, point 25).
( 28 ) Voir arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) (C‑205/21, EU:C:2023:49, point 87 et jurisprudence citée).
( 29 ) Voir, en ce sens, par rapport aux actes faisant grief, au sens de l’article 90, paragraphe 2, du statut des fonctionnaires de l’Union européenne, arrêt du 15 décembre 2022, Picard/Commission (C‑366/21 P, EU:C:2022:984, point 95).
( 30 ) Voir arrêt du 15 décembre 2022, Picard/Commission (C‑366/21 P, EU:C:2022:984, point 96). Ces éléments sont également décisifs pour déterminer si un acte de l’Union produit des effets de droit obligatoires et peut donc être attaqué au titre de l’article 263 TFUE. Voir arrêt du 15 juillet 2021, FBF (C‑911/19, EU:C:2021:599, point 38).
( 31 ) Voir arrêt du 15 décembre 2022, Picard/Commission (C‑366/21 P, EU:C:2022:984, point 97).
( 32 ) Voir point 51 des présentes conclusions.
( 33 ) Voir, par analogie, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, point 34).
( 34 ) Article 77, paragraphe 1, article 78, paragraphe 1, et article 79, paragraphe 1, du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 35 ) Arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, point 35).
( 36 ) Voir, par analogie, s’agissant du considérant 11 du règlement 2016/679, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, point 42).
( 37 ) Voir arrêt du 21 juin 2022, Ligue des droits humains (C‑817/19, EU:C:2022:491, point 86 et jurisprudence citée).
( 38 ) Voir point 54 des présentes conclusions et jurisprudence citée.
( 39 ) Voir arrêt du 26 janvier 2023, Ministerstvo na vatreshnite raboti (Enregistrement de données biométriques et génétiques par la police) (C‑205/21, EU:C:2023:49, point 89 et jurisprudence citée).
( 40 ) Voir points 37 et 38 des présentes conclusions.
( 41 ) Dimitrova, D., de Hert, P., « The right of access under the Police Directive : small steps forward », dans Medina, M., e.a. (éd.), Privacy technologies and policy : 6th Annual Privacy Forum, APF 2018, Springer International Publishing, 2018, p. 123.
( 42 ) Voir article 14 de la proposition de la Commission pour une directive en matière de protection des données dans le domaine répressif. L’article 45, paragraphe 1, sous c), de cette proposition prévoyait l’obligation pour l’autorité de contrôle de vérifier la licéité du traitement des données en vertu de l’article 14 et d’informer la personne concernée dans un délai raisonnable « de l’issue de la vérification ou des motifs ayant empêché sa réalisation ».
( 43 ) Voir, en ce sens, arrêt du 4 juin 2013, ZZ (C‑300/11, EU:C:2013:363, point 57).
( 44 ) Voir arrêt du 4 juin 2013, ZZ (C‑300/11, EU:C:2013:363, point 58).
( 45 ) Arrêt du 3 septembre 2008, Kadi et Al Barakaat International Foundation/Conseil et Commission (C‑402/05 P et C‑415/05 P, EU:C:2008:461).
