| CJUE, Arrêt de la Cour, Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala contre Nemzeti Adatvédelmi és Információszabadság Hatóság., 14/03/2024, C-46/23

 ARRÊT DE LA COUR (cinquième chambre)

14 mars 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 58, paragraphe 2, sous d) et g) – Pouvoirs de l’autorité de contrôle d’un État membre – Article 17, paragraphe 1 – Droit à l’effacement (“droit à l’oubli”) – Effacement des données à caractère personnel ayant fait l’objet d’un traitement illicite – Pouvoir de l’autorité nationale de contrôle d’ordonner au responsable du traitement ou au sous‑traitant
d’effacer ces données sans demande préalable de la personne concernée »

Dans l’affaire C‑46/23,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), par décision du 8 décembre 2022, parvenue à la Cour le 31 janvier 2023, dans la procédure

Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala

contre

Nemzeti Adatvédelmi és Információszabadság Hatóság,

LA COUR (cinquième chambre),

composée de M. E. Regan, président de chambre, MM. Z. Csehi, M. Ilešič (rapporteur), I. Jarukaitis et D. Gratsias, juges,

avocat général : Mme L. Medina,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour la Nemzeti Adatvédelmi és Információszabadság Hatóság, par M. G. J. Dudás, ügyvéd,

– pour le gouvernement hongrois, par Mme Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,

– pour le gouvernement espagnol, par M. A. Ballesteros Panizo, en qualité d’agent,

– pour le gouvernement autrichien, par M. A. Posch, Mmes J. Schmoll et C. Gabauer, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour le gouvernement portugais, par Mmes P. Barros da Costa, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

– pour la Commission européenne, par MM. A. Bouchagiar, C. Kovács et H. Kranenborg, en qualité d’agents,

vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 58, paragraphe 2, sous c), d) et g), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2) (ci‑après le
« RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant la Budapest Főváros IV. Kerület Újpest Önkormányzat Polgármesteri Hivatala (administration municipale d’Újpest – quatrième arrondissement de Budapest-Capitale, Hongrie) (ci-après l’« administration d’Újpest ») à la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorité nationale de la protection des données et de la liberté de l’information, Hongrie) (ci-après l’« autorité de contrôle hongroise ») au sujet d’une décision par
laquelle cette dernière a ordonné à l’administration d’Újpest d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite.

Le cadre juridique

3 Les considérants 1, 10 et 129 du RGPD sont libellés comme suit :

« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne [...] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[...]

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(129) Afin de veiller à faire appliquer le présent règlement et à contrôler son application de manière cohérente dans l’ensemble de l’Union, les autorités de contrôle devraient avoir, dans chaque État membre, les mêmes missions et les mêmes pouvoirs effectifs, y compris les pouvoirs d’enquête, le pouvoir d’adopter des mesures correctrices et d’infliger des sanctions, ainsi que le pouvoir d’autoriser et d’émettre des avis consultatifs, notamment en cas de réclamation introduite par des personnes
physiques, et, sans préjudice des pouvoirs des autorités chargées des poursuites en vertu du droit d’un État membre, le pouvoir de porter les violations du présent règlement à l’attention des autorités judiciaires et d’ester en justice. [...] »

4 Le chapitre I du RGPD, intitulé « Dispositions générales », comporte les articles 1 à 4 de celui-ci.

5 Aux termes de l’article 1er de ce règlement, intitulé « Objet et objectifs » :

« 1.   Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

2.   Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

[...] »

6 L’article 4 dudit règlement, intitulé « Définitions », dispose, à ses points 2, 7 et 21 :

« Aux fins du présent règlement, on entend par :

[...]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;

[...]

21) “autorité de contrôle”, une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 ;

[...] »

7 Le chapitre II du RGPD, intitulé « Principes », contient notamment l’article 5 de celui-ci, lui-même intitulé « Principes relatifs au traitement des données à caractère personnel », qui prévoit :

« 1.   Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[...]

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

8 Figurant au chapitre III du RGPD, intitulé « Droits de la personne concernée », l’article 17 de ce règlement, lui-même intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;

[...] »

9 Le chapitre VI du RGPD, intitulé « Autorités de contrôle indépendantes », comporte les articles 51 à 59 de celui-ci.

10 L’article 51 de ce règlement, intitulé « Autorité de contrôle », prévoit, à ses paragraphes 1et 2 :

« 1.   Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union [...]

2.   Chaque autorité de contrôle contribue à l’application cohérente du présent règlement dans l’ensemble de l’Union. À cette fin, les autorités de contrôle coopèrent entre elles et avec la Commission [européenne] conformément au chapitre VII. »

11 L’article 57 dudit règlement, intitulé « Missions », est libellé comme suit, à son paragraphe 1 :

« 1.   Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

a) contrôle l’application du présent règlement et veille au respect de celui-ci ;

[...]

h) effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique ;

[...] »

12 L’article 58 du même règlement, intitulé « Pouvoirs », dispose, à son paragraphe 2 :

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

[...]

c) ordonner au responsable du traitement ou au sous‑traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement ;

d) ordonner au responsable du traitement ou au sous‑traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé ;

[...]

g) ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement en application des articles 16, 17 et 18 et la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19 ;

[...]

i) imposer une amende administrative en application de l’article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas ;

[...] »

Le litige au principal et les questions préjudicielles

13 Au mois de février 2020, l’administration d’Újpest a décidé de fournir une aide financière aux résidents qui appartenaient à une catégorie de personnes fragilisées par la pandémie de COVID-19 et qui remplissaient certaines conditions d’éligibilité.

14 À cette fin, elle s’est adressée au Magyar Államkincstár (Trésor public hongrois) et au Budapest Főváros Kormányhivatala IV. Kerületi Hivatala (bureau gouvernemental du quatrième district de Budapest-Capitale, Hongrie) (ci-après le « bureau gouvernemental »), en vue d’obtenir les données à caractère personnel nécessaires à la vérification de ces conditions d’éligibilité. Ces données comprenaient notamment les données d’identification de base et les numéros de sécurité sociale des personnes
physiques. Le Trésor public hongrois et le bureau gouvernemental ont communiqué les données demandées.

15 Aux fins du versement de l’aide financière, l’administration d’Újpest a adopté l’az Újpest+ Megbecsülés Program bevezetéséről szóló 16/2020. (IV. 30.) önkormányzati rendelet [arrêté municipal no 16/2020. (IV. 30.), relatif à l’introduction du programme Újpest+ Megbecsülés], qui a été modifié et complété par le 30/2020. (VII. 15.) önkormányzati rendelet [arrêté municipal no 30/2020. (VII. 15.)]. Ces arrêtés contenaient les critères d’éligibilité à l’aide ainsi établie. L’administration d’Újpest a
agrégé les données obtenues dans une base de données conçue aux fins de la mise en œuvre de son programme d’aide et a créé un identifiant ainsi qu’un code-barres spécifique pour chaque jeu de données.

16 Alertée par un signalement, l’autorité de contrôle hongroise a ouvert d’office, le 2 septembre 2020, une enquête relative au traitement des données à caractère personnel sur lequel reposait le programme d’aide susmentionné. Dans une décision adoptée le 22 avril 2021, cette autorité a constaté que l’administration d’Újpest avait violé plusieurs dispositions des articles 5 et 14 du RGPD ainsi que l’article 12, paragraphe 1, de celui-ci. Elle a notamment relevé que l’administration d’Újpest n’avait
pas informé les personnes concernées, dans le délai d’un mois, des catégories de données à caractère personnel traitées dans le cadre de ce programme, des finalités du traitement en cause, ni des modalités selon lesquelles ces personnes pouvaient exercer leurs droits à cet égard.

17 L’autorité de contrôle hongroise a ordonné à l’administration d’Újpest, en vertu de l’article 58, paragraphe 2, sous d), du RGPD, d’effacer les données à caractère personnel des personnes concernées qui, selon les informations fournies par le bureau gouvernemental et le Trésor public hongrois, auraient certes eu droit à cette aide, mais ne l’avaient pas demandée. Elle a estimé que tant le Trésor public hongrois que le bureau gouvernemental avaient violé les dispositions relatives au traitement
des données à caractère personnel desdites personnes. Elle a également condamné l’administration d’Újpest et le Trésor public hongrois à payer une amende au titre de la protection des données.

18 Par un recours administratif contentieux, introduit devant la Fővárosi Törvényszék (cour de Budapest‑Capitale, Hongrie), qui est la juridiction de renvoi, l’administration d’Újpest conteste la décision de l’autorité de contrôle hongroise, en faisant valoir que cette dernière n’a pas le pouvoir d’ordonner l’effacement des données à caractère personnel, en vertu de l’article 58, paragraphe 2, sous d), du RGPD, en l’absence d’une demande présentée par la personne concernée, au sens de l’article 17
de ce règlement. À cet égard, elle s’appuie sur l’arrêt Kfv.II.37.001/2021/6. de la Kúria (Cour suprême, Hongrie), par lequel cette dernière aurait jugé que l’autorité de contrôle hongroise ne disposait pas d’un tel pouvoir, confirmant ainsi un arrêt de la juridiction de renvoi. Selon la requérante au principal, le droit à l’effacement, prévu à l’article 17 dudit règlement, est conçu exclusivement comme un droit de la personne concernée.

19 À la suite d’un recours constitutionnel introduit par l’autorité de contrôle hongroise, l’Alkotmánybíróság (Cour constitutionnelle, Hongrie) a annulé l’arrêt susmentionné de la Kúria (Cour suprême), en jugeant que cette autorité est en droit d’ordonner d’office l’effacement des données à caractère personnel ayant fait l’objet d’un traitement illicite, y compris en l’absence d’une demande présentée par la personne concernée. L’Alkotmánybíróság (Cour constitutionnelle) s’est appuyée à cet égard sur
l’avis no 39/2021 du comité européen de la protection des données selon lequel l’article 17 du RGPD prévoit deux hypothèses d’effacement distinctes, l’une étant l’effacement à la demande de la personne concernée, et l’autre consistant en une obligation autonome du responsable du traitement, de sorte que l’article 58, paragraphe 2, sous g), du RGPD devrait être considéré comme une base juridique valable aux fins de l’effacement d’office de données à caractère personnel traitées de manière
illicite.

20 À la suite de la décision de l’Alkotmánybíróság (Cour constitutionnelle) visée au point précèdent, la juridiction de renvoi continue d’éprouver des doutes en ce qui concerne l’interprétation de l’article 17 et de l’article 58, paragraphe 2, du RGPD. Elle estime que le droit à l’effacement des données à caractère personnel est défini à l’article 17, paragraphe 1, du RGPD comme un droit de la personne concernée et que cette disposition ne comprend pas deux hypothèses distinctes d’effacement.

21 Cette juridiction ajoute qu’une personne peut avoir un intérêt à ce que les données à caractère personnel la concernant soient traitées, y compris lorsque l’autorité nationale de contrôle ordonne, en raison de l’illicéité du traitement, au responsable du traitement d’effacer lesdites données. En pareil cas, cette autorité exercerait le droit de ladite personne contre la volonté de cette dernière.

22 La juridiction de renvoi cherche ainsi à déterminer si, indépendamment de l’exercice des droits de la personne concernée, l’autorité de contrôle d’un État membre peut exiger du responsable du traitement ou du sous‑traitant qu’il efface les données à caractère personnel ayant fait l’objet d’un traitement illicite, et dans l’affirmative, sur quelle base juridique, compte tenu notamment du fait que l’article 58, paragraphe 2, sous c), du RGPD prévoit expressément une demande présentée par cette
personne en vue d’exercer ses droits et que l’article 58, paragraphe 2, sous d), de ce règlement prévoit de manière générale la mise en conformité des opérations de traitement avec les dispositions dudit règlement, tandis que l’article 58, paragraphe 2, sous g), du même règlement renvoie directement à l’article 17 de celui-ci, dont l’application exigerait une demande explicite de la personne concernée.

23 Dans l’hypothèse où l’autorité nationale de contrôle pourrait, malgré l’absence de demande de la personne concernée, ordonner au responsable du traitement ou au sous‑traitant d’effacer les données à caractère personnel ayant fait l’objet d’un traitement illicite, la juridiction de renvoi s’interroge sur le point de savoir si une distinction peut être faite, à la date où cet effacement est ordonné, selon que les données à caractère personnel ont été collectées auprès de la personne concernée,
compte tenu de l’obligation du responsable du traitement visée à l’article 13, paragraphe 2, sous b), du RGPD, ou auprès d’une autre personne, eu égard à l’obligation prévue à l’article 14, paragraphe 2, sous c), de ce règlement.

24 Dans ces conditions, la Fővárosi Törvényszék (cour de Budapest‑Capitale) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) L’article 58, paragraphe 2, en particulier sous c), d) et g), du [RGPD] doit-il être interprété en ce sens que l’autorité de contrôle d’un État membre, dans le cadre de son pouvoir d’adopter des mesures correctrices, peut ordonner au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite même en l’absence de demande explicite présentée à cet effet par la personne concernée conformément à l’article 17,
paragraphe 1, [du RGPD] ?

2) Dans le cas où il conviendrait de répondre à la première question en ce sens que l’autorité de contrôle peut ordonner au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite même en l’absence de demande présentée à cet effet par la personne concernée, cela est-il indépendant du fait que les données à caractère personnel aient ou non été collectées auprès de la personne concernée ? »

Sur les questions préjudicielles

Sur la première question

25 Par sa première question, la juridiction de renvoi demande si l’article 58, paragraphe 2, sous c), d) et g), du RGPD doit être interprété en ce sens que l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à
cet effet par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, de ce règlement.

26 Cette question s’inscrit dans le contexte d’un litige portant sur la légalité d’une décision de l’autorité de contrôle hongroise ordonnant à l’administration d’Újpest, en vertu de l’article 58, paragraphe 2, sous d), du RGPD, d’effacer les données à caractère personnel ayant fait l’objet d’un traitement illicite dans le cadre du programme d’aide décrit aux points 13 à 15 du présent arrêt.

27 Conformément à l’article 17, paragraphe 1, du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, notamment, en vertu du point d) de cette disposition, lorsque les données en question ont fait l’objet d’un « traitement illicite ».

28 Aux termes de l’article 58, paragraphe 2, sous d), du RGPD, l’autorité de contrôle peut ordonner au responsable du traitement ou au sous‑traitant de mettre les opérations de traitement en conformité avec les dispositions de ce règlement, le cas échéant, de manière spécifique et dans un délai déterminé. En outre, l’article 58, paragraphe 2, sous g), dudit règlement prévoit que l’autorité de contrôle a le pouvoir d’ordonner la rectification ou l’effacement de données à caractère personnel ou la
limitation du traitement en application des articles 16, 17 et 18 de celui-ci, ainsi que la notification de ces mesures aux destinataires auxquels les données à caractère personnel ont été divulguées en application de l’article 17, paragraphe 2, et de l’article 19 du même règlement.

29 Dans ce contexte, la juridiction de renvoi s’interroge sur le point de savoir si l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adopter des mesures correctrices, telles que celles prévues à l’article 58, paragraphe 2, sous c), d) et g), du RGPD, à ordonner d’office, à savoir en l’absence d’une demande préalable présentée à cet effet par la personne concernée, au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant
fait l’objet d’un traitement illicite.

30 Conformément à une jurisprudence constante, aux fins de l’interprétation d’une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également du contexte dans lequel elle s’inscrit et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 13 juillet 2023, G GmbH, C‑134/22, EU:C:2023:567, point 25 et jurisprudence citée).

31 À titre liminaire, il importe de relever que les dispositions pertinentes du droit de l’Union, mentionnées aux points 27 et 28 du présent arrêt, doivent être lues conjointement avec l’article 5, paragraphe 1, du RGPD, qui énonce les principes relatifs au traitement des données à caractère personnel et parmi lesquels figure notamment, sous le point a), celui prévoyant que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne
concernée.

32 Aux termes du paragraphe 2 de cet article 5, le responsable du traitement, conformément au principe de « responsabilité » énoncé à cette disposition, est responsable du respect du paragraphe 1 dudit article 5 et doit être en mesure de démontrer qu’il respecte chacun des principes qui y sont énoncés, preuve dont la charge lui incombe par ailleurs [arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 53 et jurisprudence citée].

33 Lorsque le traitement de données à caractère personnel ne satisfait pas aux principes prévus notamment à l’article 5 du RGPD, les autorités de contrôle des États membres sont habilitées à intervenir, conformément à leurs missions et pouvoirs, prévus aux articles 57 et 58 de ce règlement. Parmi ces missions figure, notamment, celle de contrôler l’application dudit règlement et de veiller à son respect, en vertu de l’article 57, paragraphe 1, sous a), de celui-ci (voir, en ce sens, arrêt du
16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 108).

34 À cet égard, la Cour a déjà précisé que, lorsqu’une autorité nationale de contrôle estime, à l’issue de son enquête, que la personne concernée ne bénéficie pas d’un niveau de protection adéquat, elle est tenue, en application du droit de l’Union, de réagir de manière appropriée afin de remédier à l’insuffisance constatée, et ce indépendamment de l’origine ou de la nature de cette insuffisance. À cet effet, l’article 58, paragraphe 2, du RGPD énumère les différentes mesures correctrices que
l’autorité de contrôle peut adopter. Il appartient à cette autorité de contrôle de choisir le moyen approprié afin de s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect de ce règlement (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, points 111 et 112).

35 S’agissant, plus particulièrement, de la question de savoir si de telles mesures correctrices peuvent être adoptées d’office par l’autorité de contrôle concernée, il convient de relever tout d’abord, que, au regard de son libellé, l’article 58, paragraphe 2, du RGPD opère une distinction entre les mesures correctrices qui peuvent être ordonnées d’office, notamment celles visées à l’article 58, paragraphe 2, sous d) et g), et celles qui ne peuvent être adoptées qu’à la suite d’une demande
présentée par la personne concernée en vue d’exercer ses droits en application de ce règlement, telles que visées à l’article 58, paragraphe 2, sous c), dudit règlement.

36 En effet, d’une part, il ressort expressément du libellé de l’article 58, paragraphe 2, sous c), du RGPD que l’adoption de la mesure correctrice visée à cette disposition, à savoir « ordonner au responsable du traitement ou au sous‑traitant de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits en application du présent règlement », suppose que, au préalable, une personne concernée ait fait valoir ses droits en présentant une demande en ce sens et que cette
demande n’ait pas été accueillie avant la décision de l’autorité de contrôle que ladite disposition prévoit. D’autre part, à la différence de cette disposition, le libellé de l’article 58, paragraphe 2, sous d) et g), de ce règlement ne permet pas de considérer qu’une intervention de l’autorité de contrôle d’un État membre, en vue d’appliquer les mesures qui y sont visées, serait limitée aux seuls cas où une demande a été présentée à cet effet par la personne concernée, ce libellé ne contenant
pas de référence à une telle demande.

37 Ensuite, s’agissant du contexte de ces dispositions, il convient de relever que les termes de l’article 17, paragraphe 1, de ce règlement distinguent, au moyen de la conjonction de coordination « et », d’une part, le droit de la personne concernée d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données la concernant et, d’autre part, l’obligation du responsable du traitement d’effacer ces données à caractère personnel dans les meilleurs délais. Il doit en être
déduit que cette disposition régit deux hypothèses indépendantes, à savoir, d’une part, l’effacement des données à la demande de la personne concernée et, d’autre part, l’effacement découlant de l’existence d’une obligation autonome, pesant sur le responsable du traitement, et ce indépendamment de toute demande de la personne concernée.

38 En effet, ainsi que l’a relevé le comité européen de la protection des données, dans son avis no 39/2021, une telle distinction est nécessaire étant donné que, parmi les cas de figure envisagés à cet article 17, paragraphe 1, certains recouvrent des situations dans lesquelles la personne concernée n’a pas nécessairement été informée que des données à caractère personnel la concernant sont traitées, de sorte que le responsable du traitement est le seul à pouvoir en constater l’existence. Tel est
le cas, en particulier, de la situation où ces données ont fait l’objet d’un traitement illicite, visée audit article 17, paragraphe 1, sous d).

39 Cette interprétation est corroborée par l’article 5, paragraphe 2, du RGPD, lu en combinaison avec le paragraphe 1, sous a), de cet article 5, en vertu duquel le responsable du traitement doit s’assurer, notamment, de la licéité du traitement des données qu’il effectue [voir, en ce sens, arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire), C‑60/22, EU:C:2023:373, point 54].

40 Enfin, une telle interprétation est également confortée par l’objectif poursuivi par l’article 58, paragraphe 2, du RGPD, tel qu’il ressort du considérant 129 de celui-ci, à savoir assurer la conformité du traitement des données à caractère personnel à ce règlement ainsi que le rétablissement de situations de violation de ce dernier pour les rendre conformes au droit de l’Union, grâce à l’intervention des autorités nationales de contrôle.

41 À cet égard, il importe de préciser que, bien que le choix du moyen approprié et nécessaire relève de l’autorité nationale de contrôle et que celle-ci doit opérer ce choix en prenant en considération toutes les circonstances de l’espèce, cette autorité n’en est pas moins tenue de s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 112). Dès
lors, en vue d’assurer une application effective du RGPD, il est d’une importance particulière que cette autorité dispose des pouvoirs effectifs afin d’agir efficacement contre les violations de ce règlement, et notamment d’y mettre fin, y compris dans des cas où les personnes concernées ne sont pas informées du traitement de leurs données à caractère personnel, n’en ont pas connaissance ou n’ont, en tout état de cause, pas demandé l’effacement de ces données.

42 Dans ces conditions, il y a lieu de considérer que le pouvoir d’adopter certaines des mesures correctrices visées à l’article 58, paragraphe 2, du RGPD, notamment celles figurant sous d) et g) de cette disposition, peut être exercé d’office par l’autorité de contrôle d’un État membre dans la mesure où l’exercice d’office de ce pouvoir est requis pour lui permettre de s’acquitter de sa mission. Dès lors, lorsque cette autorité estime, à l’issue de son enquête, que ce traitement ne satisfait pas
aux exigences de ce règlement, elle est tenue, en application du droit de l’Union, d’adopter les mesures appropriées afin de remédier à la violation constatée, et ce indépendamment de l’existence d’une demande préalable présentée par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, dudit règlement.

43 Une telle interprétation est par ailleurs corroborée par les objectifs poursuivis par le RGPD, tel qu’ils ressortent notamment de son article 1er ainsi que de ses considérants 1 et 10, lesquels se réfèrent à la garantie d’un niveau élevé de protection en ce qui concerne le droit fondamental des personnes physiques à la protection des données à caractère personnel les concernant, consacré à l’article 8, paragraphe 1, de la charte des droits fondamentaux et à l’article 16, paragraphe 1, TFUE (voir,
en ce sens, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 207, ainsi que du 28 avril 2022, Meta Platforms Ireland, C‑319/20, EU:C:2022:322, point 73).

44 Une interprétation contraire à celle retenue au point 42 du présent arrêt, selon laquelle une telle autorité de contrôle ne serait habilitée à agir qu’à la suite d’une demande présentée à cet effet par la personne concernée, compromettrait la réalisation des objectifs rappelés aux points 40 et 43 du présent arrêt, en particulier, dans une situation telle que celle en cause au principal où l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite concerne un nombre
potentiellement élevé de personnes qui n’ont pas fait valoir leur droit à l’effacement, en application de l’article 17, paragraphe 1, du RGPD.

45 En effet, ainsi que l’a fait valoir, en substance, la Commission dans ses observations écrites, l’exigence d’une demande préalable présentée par les personnes concernées, au sens de l’article 17, paragraphe 1, du RGPD, signifierait que le responsable du traitement pourrait, en l’absence d’une telle demande, conserver les données à caractère personnel en cause et continuer à les traiter de manière illicite. Une telle interprétation nuirait à l’effectivité de la protection prévue par ce règlement,
dès lors qu’elle aboutirait à priver de protection les personnes inactives bien que leurs données à caractère personnel aient fait l’objet d’un traitement illicite.

46 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 58, paragraphe 2, sous d) et g), du RGPD doit être interprété en ce sens que l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous‑traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune
demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, de ce règlement.

Sur la seconde question

47 Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 58, paragraphe 2, du RGPD doit être interprété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source.

48 À cet égard, il convient de relever, tout d’abord, que le libellé des dispositions mentionnées au point précédent ne comporte aucune indication qui laisserait entendre que le pouvoir de l’autorité de contrôle d’adopter les mesures correctrices qui y sont énumérées dépendrait de l’origine des données concernées et, notamment, de la circonstance qu’elles aient été collectées auprès de la personne concernée.

49 De même, le libellé de l’article 17, paragraphe 1, du RGPD, qui, ainsi qu’il ressort du point 37 du présent arrêt, établit une obligation autonome, pour le responsable du traitement, d’effacer les données à caractère personnel ayant fait l’objet d’un traitement illicite, n’inclut aucune exigence relative à l’origine des données collectées.

50 En outre, ainsi qu’il ressort des points 41 et 42 du présent arrêt, il est nécessaire, en vue d’assurer une application effective et cohérente du RGPD, que l’autorité nationale de contrôle dispose de pouvoirs effectifs afin d’agir efficacement contre les violations de ce règlement. Partant, le pouvoir d’adopter des mesures correctrices, tel qu’établi à l’article 58, paragraphe 2, sous d) et g), du RGPD, ne saurait dépendre de l’origine des données concernées et, notamment, de la circonstance
qu’elles aient été collectées auprès de la personne concernée.

51 Par conséquent, il y a lieu de considérer, à l’instar de l’ensemble des gouvernements ayant déposé des observations écrites et de la Commission, que l’exercice du pouvoir d’adoption de mesures correctrices, au sens de l’article 58, paragraphe 2, sous d) et g), du RGPD, ne saurait dépendre du fait que les données à caractère personnel en cause aient été ou non collectées directement auprès de la personne concernée.

52 Une telle interprétation est également corroborée par les objectifs poursuivis par le RGPD, en particulier par l’article 58, paragraphe 2, de ce règlement, rappelés aux points 40 et 43 du présent arrêt.

53 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 58, paragraphe 2, du RGPD doit être interprété en ce sens que le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source.

Sur les dépens

54 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

  Par ces motifs, la Cour (cinquième chambre) dit pour droit :

  1) L’article 58, paragraphe 2, sous d) et g), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

l’autorité de contrôle d’un État membre est habilitée, dans l’exercice de son pouvoir d’adoption des mesures correctrices prévues à ces dispositions, à ordonner au responsable du traitement ou au sous-traitant d’effacer des données à caractère personnel ayant fait l’objet d’un traitement illicite, et ce alors qu’aucune demande n’a été présentée à cet effet par la personne concernée en vue d’exercer ses droits en application de l’article 17, paragraphe 1, de ce règlement.

  2) L’article 58, paragraphe 2, du règlement 2016/679

doit être interprété en ce sens que :

le pouvoir de l’autorité de contrôle d’un État membre d’ordonner l’effacement de données à caractère personnel ayant fait l’objet d’un traitement illicite peut viser tant des données collectées auprès de la personne concernée que des données provenant d’une autre source.

  Signatures

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( *1 ) Langue de procédure : le hongrois.