ARRÊT DE LA COUR (première chambre)
4 octobre 2024 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Publication, dans le registre du commerce, d’un contrat de société contenant des données à caractère personnel – Directive (UE) 2017/1132 – Données à caractère personnel non obligatoires – Absence de consentement de la personne concernée – Droit à l’effacement – Dommage moral »
Dans l’affaire C‑200/23,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie), par décision du 21 mars 2023, parvenue à la Cour le 28 mars 2023, dans la procédure
Agentsia po vpisvaniyata
contre
OL,
en présence de :
Varhovna administrativna prokuratura,
LA COUR (première chambre),
composée de M. A. Arabadjiev, président de chambre, MM. T. von Danwitz (rapporteur), P. G. Xuereb, A. Kumin et Mme I. Ziemele, juges,
avocat général : Mme L. Medina,
greffier : Mme R. Stefanova-Kamisheva, administratrice,
vu la procédure écrite et à la suite de l’audience du 7 mars 2024,
considérant les observations présentées :
– pour l’Agentsia po vpisvaniyata, par M. I. D. Ivanov et Mme D. S. Miteva, assistés de Me Z. N. Mandazhieva, advokat,
– pour OL, par elle-même, assistée de Mes I. Stoynev et T. Tsonev, advokati,
– pour le gouvernement bulgare, par Mme T. Mitova et M. R. Stoyanov, en qualité d’agents,
– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,
– pour l’Irlande, par Mme M. Browne, Chief State Solicitor, M. A. Joyce, Mme M. Lane et M. M. Tierney, en qualité d’agents, assistés de M. I. Boyle Harper, BL,
– pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme G. Natale, avvocato dello Stato,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour le gouvernement finlandais, par Mme A. Laine, en qualité d’agent,
– pour la Commission européenne, par MM. A. Bouchagiar, Mme C. Georgieva, MM. H. Kranenborg et L. Malferrari, en qualité d’agents,
ayant entendu l’avocate générale en ses conclusions à l’audience du 30 mai 2024,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation des articles 3 et 4 de la directive 2009/101/CE du Parlement européen et du Conseil, du 16 septembre 2009, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 48, deuxième alinéa, [CE], pour protéger les intérêts tant des associés que des tiers (JO 2009, L 258, p. 11), ainsi que des articles 4, 6, 17, 58 et 82 du règlement (UE) 2016/679 du
Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant l’Agentsia po vpisvaniyata (agence chargée des inscriptions aux registres, Bulgarie) (ci-après l’« agence ») à OL au sujet du refus de cette agence de radier certaines données à caractère personnel concernant OL figurant dans un contrat de société publié au registre du commerce.
Le cadre juridique
Le droit de l’Union
La directive (UE) 2017/1132
3 La directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés (JO 2017, L 169, p. 46), a abrogé et remplacé la directive 2009/101, à compter de la date de son entrée en vigueur, à savoir le 20 juillet 2017.
4 Les considérants 1, 7, 8 et 12 de la directive 2017/1132 énoncent :
« (1) Les directives [2009/101] et 2012/30/UE [du Parlement européen et du Conseil, du 25 octobre 2012, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées dans les États membres des sociétés au sens de l’article 54, deuxième alinéa, [TFUE], en vue de la protection des intérêts tant des associés que des tiers, en ce qui concerne la constitution de la société anonyme ainsi que le maintien et les modifications de son capital (JO 2012, L 315, p. 74),] ont été modifiées
à plusieurs reprises et de façon substantielle [...]. Il convient, dans un souci de clarté et de rationalité, de procéder à la codification desdites directives.
[...]
(7) La coordination des dispositions nationales concernant la publicité, la validité des engagements des sociétés par actions et des sociétés à responsabilité limitée et la nullité de celles-ci revêt une importance particulière, notamment en vue d’assurer la protection des intérêts des tiers.
(8) La publicité devrait permettre aux tiers de connaître les actes essentiels d’une société et certaines indications la concernant, notamment l’identité des personnes qui ont le pouvoir de l’engager.
[...]
(12) Il y a lieu de faciliter l’accès transfrontalier aux informations sur les sociétés en permettant, en plus de la publicité obligatoire effectuée dans l’une des langues autorisées dans les États membres des sociétés concernées, l’enregistrement volontaire, dans d’autres langues, des actes et indications obligatoires. Les tiers agissant de bonne foi devraient pouvoir se prévaloir de ces traductions. »
5 Figurant à la section 1 du chapitre II du titre I de la directive 2017/1132, intitulée « Constitution de la société anonyme », l’article 4 de cette directive, intitulé « Informations obligatoires à fournir dans les statuts ou l’acte constitutif ou des documents séparés », dispose :
« Les indications suivantes au moins doivent figurer, soit dans les statuts, soit dans l’acte constitutif, soit dans un document séparé qui fait l’objet d’une publicité effectuée selon la procédure prévue par la législation de chaque État membre conformément à l’article 16 :
[...]
i) l’identité des personnes physiques ou morales ou des sociétés qui ont signé ou au nom de qui ont été signés les statuts ou l’acte constitutif ou, lorsque la constitution de la société n’est pas simultanée, l’identité des personnes physiques ou morales ou des sociétés qui ont signé ou au nom de qui ont été signés les projets de statuts ou d’acte constitutif ;
[...] »
6 La section 1 du chapitre III du titre I de ladite directive, intitulée « Dispositions générales », comprend les articles 13 à 28 de celle-ci.
7 Aux termes de l’article 13 de la même directive, intitulé « Champ d’application » :
« Les mesures de coordination prescrites par la présente section s’appliquent aux dispositions législatives, réglementaires et administratives des États membres relatives aux formes de sociétés figurant à l’annexe II. »
8 L’article 14 de la directive 2017/1132, intitulé « Actes et indications soumis à publicité », dispose :
« Les États membres prennent les mesures nécessaires pour que les sociétés publient obligatoirement au moins les actes et indications suivants :
a) l’acte constitutif, et les statuts s’ils font l’objet d’un acte séparé ;
b) les modifications des actes visés au point a), y compris la prorogation de la société ;
c) après chaque modification de l’acte constitutif ou des statuts, le texte intégral de l’acte modifié dans sa rédaction mise à jour ;
d) la nomination, la cessation des fonctions ainsi que l’identité des personnes qui, en tant qu’organe légalement prévu, ou membres de tel organe :
i) ont le pouvoir d’engager la société à l’égard des tiers et de la représenter en justice ; les mesures de publicité précisent si les personnes qui ont le pouvoir d’engager la société peuvent le faire seules ou doivent le faire conjointement,
ii) participent à l’administration, à la surveillance ou au contrôle de la société ;
[...] »
9 L’article 15, paragraphe 1, de cette directive, intitulé « Modifications des actes et indications », prévoit :
« Les États membres prennent les mesures nécessaires pour veiller à ce que toute modification intervenue dans les actes et indications visés à l’article 14 soit transcrite au registre compétent visé à l’article 16, paragraphe 1, premier alinéa, et soit rendue publique, conformément à l’article 16, paragraphes 3 et 5, normalement dans un délai de 21 jours à compter de la réception des informations complètes concernant ces modifications, y compris, le cas échéant, le contrôle de la légalité tel
qu’exigé par le droit national pour la transcription dans le dossier. »
10 Aux termes de l’article 16 de ladite directive, intitulé « Publicité dans un registre » :
« 1. Dans chaque État membre, un dossier est ouvert auprès d’un registre central, du commerce ou des sociétés (ci-après dénommé “registre”), pour chacune des sociétés qui y sont inscrites.
[...]
3. Tous les actes et toutes les indications qui sont soumis à publicité en vertu de l’article 14 sont versés au dossier ou transcrits au registre ; l’objet des transcriptions dans le registre doit en tout cas apparaître dans le dossier.
Les États membres veillent à ce que les sociétés et autres personnes et organismes amenés à procéder ou à participer au dépôt puissent déposer par voie électronique tous les actes et indications soumis à publicité en vertu de l’article 14. De plus, les États membres peuvent obliger toutes les sociétés, ou certaines catégories d’entre elles, à déposer tout ou partie des actes et indications en question par voie électronique.
Tous les actes et indications visés à l’article 14 qui sont déposés, que ce soit sur support papier ou par voie électronique, sont versés au dossier, ou transcrits au registre, sous format électronique. À cette fin, les États membres veillent à ce que tous les actes et indications en question qui sont déposés sur support papier soient convertis par le registre au format électronique.
[...]
4. Une copie intégrale ou partielle de tout acte ou de toute indication visés à l’article 14 doit pouvoir être obtenue sur demande. Les demandes peuvent être introduites auprès du registre sur support papier ou par voie électronique, au choix du demandeur.
[...]
5. La publicité des actes et indications visés au paragraphe 3 est assurée par la publication, soit intégrale ou par extrait, soit sous forme d’une mention signalant le dépôt du document au dossier ou sa transcription dans le registre, dans le bulletin national désigné par l’État membre. Le bulletin national désigné à cet effet par l’État membre peut être tenu sous format électronique.
Les États membres peuvent décider de remplacer cette publication au bulletin national par une mesure d’effet équivalent, qui implique au minimum l’emploi d’un système dans lequel les informations publiées peuvent être consultées, par ordre chronologique, par l’intermédiaire d’une plate-forme électronique centrale.
6. Les actes et indications ne sont opposables aux tiers par la société qu’une fois effectuée la publicité visée au paragraphe 5, sauf si la société prouve que ces tiers en avaient connaissance.
[...]
7. Les États membres prennent les mesures nécessaires pour éviter toute discordance entre la teneur de la publicité effectuée en application du paragraphe 5 et celle du registre ou du dossier.
Toutefois, en cas de discordance, le texte ayant fait l’objet d’une publicité conformément au paragraphe 5 ne peut être opposé aux tiers ; ceux-ci peuvent toutefois s’en prévaloir, à moins que la société ne prouve qu’ils ont eu connaissance du texte déposé au dossier ou transcrit au registre.
[...] »
11 L’article 21 de la directive 2017/1132, intitulé « Langue pour la publicité et traduction des actes et indications soumis à publicité », prévoit :
« 1. Les actes et indications soumis à publicité en vertu de l’article 14 sont établis et déposés dans l’une des langues autorisées par les règles applicables en la matière dans l’État membre où le dossier visé à l’article 16, paragraphe 1, est ouvert.
2. Outre la publicité obligatoire visée à l’article 16, les États membres autorisent la publicité volontaire des traductions des actes et indications visés à l’article 14, conformément à l’article 16, dans toute langue officielle de l’Union [européenne].
Les États membres peuvent prescrire que la traduction de ces actes et indications soit certifiée.
Les États membres prennent les mesures nécessaires pour faciliter l’accès des tiers aux traductions qui ont fait l’objet d’une publicité volontaire.
3. Outre la publicité obligatoire visée à l’article 16 et la publicité volontaire prévue au paragraphe 2 du présent article, les États membres peuvent permettre que la publicité des actes et indications concernés soit assurée, conformément aux dispositions de l’article 16, dans toute autre langue.
[...]
4. En cas de discordance entre les actes et indications publiés dans les langues officielles du registre et la traduction volontairement publiée, cette dernière n’est pas opposable aux tiers ; [...] »
12 Aux termes de l’article 161 de cette directive, intitulé « Protection des données » :
« Le traitement des données à caractère personnel effectué dans le cadre de la présente directive est soumis à la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)]. »
13 L’article 166 de ladite directive, intitulé « Abrogation », dispose :
« Les directives [2009/101 et 2012/30] sont abrogées [...]
Les références faites aux directives abrogées s’entendent comme faites à la présente directive et sont à lire selon le tableau de correspondance figurant à l’annexe IV. »
14 L’annexe II de la directive 2017/1132 énumère les formes de sociétés visées à l’article 7, paragraphe 1, à l’article 13, à l’article 29, paragraphe 1, à l’article 36, paragraphe 1, à l’article 67, paragraphe 1, et à l’article 119, paragraphe 1, sous a), de cette directive, au nombre desquelles figure, pour la Bulgarie, l’OOD.
15 Conformément au tableau de correspondance figurant à l’annexe IV de la directive 2017/1132, d’une part, les articles 2, 2 bis, 3, 4 et 7 bis de la directive 2009/101 correspondent, respectivement, aux articles 14, 15, 16, 21 et 161 de la directive 2017/1132. D’autre part, l’article 3 de la directive 2012/30 correspond à l’article 4 de la directive 2017/1132.
La directive (UE) 2019/1151
16 La directive 2017/1132 a été modifiée notamment par la directive (UE) 2019/1151 du Parlement européen et du Conseil, du 20 juin 2019, modifiant la directive (UE) 2017/1132 en ce qui concerne l’utilisation d’outils et de processus numériques en droit des sociétés (JO 2019, L 186, p. 80), qui est entrée en vigueur le 31 juillet 2019 et qui dispose, à son article 1er, intitulé « Modifications de la directive [2017/1132] » :
« La directive [2017/1132] est modifiée comme suit :
[...]
6) L’article 16 est remplacé par le texte suivant :
“Article 16
Publicité dans le registre
1. Dans chaque État membre, un dossier est ouvert auprès d’un registre central, du commerce ou des sociétés (ci-après dénommé ‘registre’), pour chacune des sociétés qui y sont inscrites.
[...]
2. Tous les actes et informations qui doivent faire l’objet d’une publicité en vertu de l’article 14 sont versés au dossier visé au paragraphe 1 du présent article ou transcrits directement dans le registre et l’objet des transcriptions dans le registre est consigné dans le dossier.
Tous les actes et informations visés à l’article 14, indépendamment des moyens utilisés pour leur dépôt, sont versés au dossier dans le registre ou y sont transcrits directement sous forme électronique. Les États membres veillent à ce que tous les actes et informations qui sont déposés sur support papier soient convertis dans les plus brefs délais au format électronique par le registre.
[...]
3. Les États membres veillent à ce que la publicité des actes et informations visés à l’article 14 soit assurée en les rendant accessibles au public dans le registre. Par ailleurs, les États membres peuvent également exiger la publication de tout ou partie des actes et informations dans un bulletin national désigné à cet effet, ou par des moyens d’effet équivalent. [...]
4. Les États membres prennent les mesures nécessaires pour éviter toute discordance entre la teneur du registre et celle du dossier.
Les États membres qui exigent la publication des actes et des informations dans un bulletin national ou sur une plate-forme électronique centrale prennent les mesures nécessaires pour éviter toute divergence entre ce qui est publié conformément au paragraphe 3 et ce qui est publié au bulletin ou sur la plate-forme.
En cas de divergences dans le cadre du présent article, les actes et informations mis à disposition dans le registre prévalent.
5. Les actes et informations visés au paragraphe 4 ne sont opposables aux tiers par la société qu’une fois publiés conformément au paragraphe 3 du présent article, sauf si la société prouve que ces tiers en avaient connaissance.
[...]
6. Les États membres veillent à ce que tous les actes et informations déposés dans le cadre de la procédure de constitution d’une société, d’immatriculation d’une succursale ou de dépôt effectué par une société ou une succursale soient stockés [dans] les registres dans un format lisible par machine et permettant d’y effectuer des recherches, ou sous la forme de données structurées.”
7) L’article suivant est inséré :
“Article 16 bis
Accès aux informations publiées
1. Les États membres veillent à ce que des copies de tout ou partie des actes et informations visés à l’article 14 puissent être obtenues auprès du registre sur demande [...]
[...]”
19) L’article 161 est remplacé par le texte suivant :
“Article 161
Protection des données
Le traitement de toute donnée à caractère personnel effectué dans le cadre de la présente directive est soumis au [RGPD].” »
17 Aux termes de l’article 2 de la directive 2019/1151, intitulé « Transposition » :
« 1. Les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à la présente directive au plus tard le 1er août 2021. [...]
2. Nonobstant le paragraphe 1 du présent article, les États membres mettent en vigueur les dispositions législatives, réglementaires et administratives nécessaires pour se conformer à [...] l’article 1er, point 6), de la présente directive, en ce qui concerne l’article 16, paragraphe 6, de la directive [2017/1132], au plus tard le 1er août 2023.
3. Par dérogation au paragraphe 1, les États membres qui rencontrent des difficultés particulières dans la transposition de la présente directive peuvent prétendre à une prolongation d’un an au maximum du délai prévu au paragraphe 1. [...]
[...] »
Le RGPD
18 Les considérants 26, 32, 40, 42, 43, 50, 85, 143 et 146 du RGPD énoncent :
« (26) Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. [...] Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. [...]
[...]
(32) Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. [...] Le consentement donné devrait valoir pour toutes les activités de traitement ayant la ou les mêmes finalités. Lorsque le traitement a plusieurs finalités,
le consentement devrait être donné pour l’ensemble d’entre elles. [...]
[...]
(40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l’obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un contrat auquel la
personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.
[...]
(42) Lorsque le traitement est fondé sur le consentement de la personne concernée, le responsable du traitement devrait être en mesure de prouver que ladite personne a consenti à l’opération de traitement. [...] Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice.
(43) Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette
situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce[...]
[...]
(50) Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. [...]
[...]
(85) Une violation de données à caractère personnel risque, si l’on n’intervient pas à temps et de manière appropriée, de causer aux personnes physiques concernées des dommages physiques, matériels ou un préjudice moral tels qu’une perte de contrôle sur leurs données à caractère personnel ou la limitation de leurs droits, une discrimination, un vol ou une usurpation d’identité, une perte financière, un renversement non autorisé de la procédure de pseudonymisation, une atteinte à la réputation,
une perte de confidentialité de données à caractère personnel protégées par le secret professionnel ou tout autre dommage économique ou social important. [...]
[...]
(143) [...] toute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne
couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une autorité de contrôle. [...]
[...]
(146) [...] Le responsable du traitement ou le sous-traitant devrait être exonéré de sa responsabilité s’il prouve que le dommage ne lui est nullement imputable. La notion de dommage devrait être interprétée au sens large, à la lumière de la jurisprudence de la Cour de justice, d’une manière qui tienne pleinement compte des objectifs du présent règlement. [...] Les personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi. [...] »
19 L’article 4 du RGPD, intitulé « Définitions », prévoit :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;
[...]
9) “destinataire”, la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces
données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;
[...]
11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;
[...] »
20 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose :
« 1. Les données à caractère personnel doivent être :
[...]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités[...] (limitation des finalités) ;
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
[...]
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »
21 Aux termes de l’article 6 du RGPD, intitulé « Licéité du traitement » :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
[...]
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
[...]
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...]
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le
responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de
traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
[...] »
22 L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit :
« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
[...]
3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :
[...]
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
[...] »
23 L’article 21, paragraphe 1, du RGPD est libellé comme suit :
« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits
et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. »
24 L’article 58 du RGPD dispose :
« 1. Chaque autorité de contrôle dispose de tous les pouvoirs d’enquête suivants :
[...]
2. Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :
[...]
3. Chaque autorité de contrôle dispose de tous les pouvoirs d’autorisation et de tous les pouvoirs consultatifs suivants :
[...]
b) émettre, de sa propre initiative ou sur demande, des avis à l’attention du parlement national, du gouvernement de l’État membre ou, conformément au droit de l’État membre, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ;
[...]
4. L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”)].
5. Chaque État membre prévoit, par la loi, que son autorité de contrôle a le pouvoir de porter toute violation du présent règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice d’une manière ou d’une autre, en vue de faire appliquer les dispositions du présent règlement.
6. Chaque État membre peut prévoir, par la loi, que son autorité de contrôle dispose de pouvoirs additionnels à ceux visés aux paragraphes 1, 2 et 3. L’exercice de ces pouvoirs n’entrave pas le bon fonctionnement du chapitre VII. »
25 Aux termes de l’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » :
« 1. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
2. Tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement. Un sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
3. Un responsable du traitement ou un sous-traitant est exonéré de responsabilité, au titre du paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
[...] »
26 L’article 94 du RGPD prévoit :
« 1. La directive [95/46] est abrogée avec effet au 25 mai 2018.
2. Les références faites à la directive abrogée s’entendent comme faites au présent règlement. [...] »
Le droit bulgare
La loi relative aux registres
27 L’article 2 du Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (loi relative au registre du commerce et au registre des personnes morales à but non lucratif) (DV no 34, du 25 avril 2006), dans sa version applicable au litige au principal (ci-après la « loi relative aux registres »), dispose :
« (1) Le registre du commerce et le registre des personnes morales à but non lucratif sont une base de données électronique commune comportant les circonstances inscrites en vertu d’une loi, ainsi que les actes mis à la disposition du public en vertu d’une loi, qui concernent les commerçants et les succursales de commerçants étrangers, les personnes morales à but non lucratif et les succursales de personnes morales étrangères à but non lucratif.
(2) Les circonstances et actes visés au paragraphe 1 sont mis à la disposition du public exempts des informations constituant des données à caractère personnel au sens de l’article 4, point 1, du [RGPD], à l’exception des informations qui doivent être mises à la disposition du public en vertu de la loi. »
28 L’article 3 de cette loi prévoit :
« Le registre du commerce et le registre des personnes morales à but non lucratif sont tenus par l’[agence], rattachée au Ministar na pravosadieto [ministre de la Justice, Bulgarie]. »
29 Aux termes de l’article 6, paragraphe 1, de ladite loi :
« Tout commerçant et toute personne morale à but non lucratif sont tenus de demander à être inscrits respectivement au registre du commerce et au registre des personnes morales à but non lucratif en déclarant les circonstances dont l’inscription est requise et en présentant les actes devant être mis à la disposition du public. »
30 L’article 11 de la même loi est libellé comme suit :
« (1) Le registre du commerce et le registre des personnes morales à but non lucratif sont publics. Quiconque a le droit d’accéder librement et gratuitement à la base de données constituant les registres.
(2) L’[agence] assure un accès enregistré au dossier du commerçant ou de la personne morale à but non lucratif. »
31 L’article 13, paragraphes 1, 2, 6 et 9, de la loi relative aux registres dispose :
« (1) L’inscription, la radiation et la mise à la disposition du public sont effectuées sur la base d’un formulaire de demande.
(2) La demande comporte :
1. les coordonnées du demandeur ;
[...]
3. la circonstance soumise à inscription, l’inscription dont la radiation est demandée, ou l’acte devant être mis à la disposition du public ;
[...]
(6) [L]a demande est accompagnée des documents ou, selon les cas, de l’acte devant être mis à la disposition du public, conformément aux exigences de la loi. Les documents sont présentés sous la forme d’un original, d’une copie certifiée conforme par le demandeur ou d’une copie certifiée par voie notariale. Le demandeur présente également des copies certifiées conformes des actes devant être mis à la disposition du public au registre du commerce, dans lesquels les données à caractère personnel
autres que celles requises par la loi ont été occultées.
[...]
(9) Lorsque la demande ou les documents qui y sont joints mentionnent des données à caractère personnel qui ne sont pas requises par la loi, les personnes qui les ont fournies sont réputées avoir consenti à leur traitement par l’[agence] et à leur mise à disposition du public.
[...] »
La loi commerciale
32 L’article 101, point 3, du Targovski zakon (loi commerciale) (DV no 48, du 18 juin 1991), dans sa version applicable au litige au principal (ci-après la « loi commerciale »), dispose que le contrat de société doit comporter « le nom, la dénomination sociale et le code d’identification unique des associés ».
33 Aux termes de l’article 119 de la loi commerciale :
« (1) L’inscription de la société au registre du commerce requiert :
1. la présentation du contrat de société qui est mis à la disposition du public ;
[...]
(2) Les données visées au point 1 [...] sont inscrites au registre [...]
[...]
(4) Aux fins de modifier ou de compléter le contrat de société au registre du commerce, une copie dudit contrat comportant toutes les modifications et tous les ajouts, certifiée conforme par l’organe représentant la société, est présentée en vue d’une mise à la disposition du public. »
L’arrêté no 1 relatif à la tenue, à la conservation et à l’accès au registre du commerce et au registre des personnes morales à but non lucratif
34 L’article 6 de la Naredba no 1 za vodene, sahranyavane i dostap do targovskia registar i do registara na yuridicheskite litsa s nestopanska tsel (arrêté no 1 relatif à la tenue, à la conservation et à l’accès au registre du commerce et au registre des personnes morales à but non lucratif), du 14 février 2007 (DV no 18, du 27 février 2007), adoptée par le Ministar na pravosadieto (ministre de la Justice), dans sa version applicable au litige au principal, prévoit :
« L’inscription et la radiation au registre du commerce et au registre des personnes morales à but non lucratif s’effectuent sur la base d’un formulaire de demande conformément aux annexes [contenant des formulaires spécifiques]. La mise à la disposition du public des actes au registre du commerce et au registre des personnes morales à but non lucratif s’effectue sur la base d’un formulaire de demande conformément aux annexes [contenant des formulaires spécifiques]. »
Le litige au principal et les questions préjudicielles
35 OL est associée de « Praven Shtit Konsulting » OOD, société à responsabilité limitée de droit bulgare, qui a été inscrite le 14 janvier 2021 au registre du commerce à la suite de la présentation d’un contrat de société, daté du 30 décembre 2020 et signé par les associés de cette société (ci-après le « contrat de société concerné »).
36 Ce contrat, contenant les nom, prénom, numéro d’identification, numéro de carte d’identité, date et lieu de délivrance de cette carte ainsi que l’adresse d’OL et sa signature, a été mis à la disposition du public par l’agence tel qu’il avait été présenté.
37 Le 8 juillet 2021, OL a demandé à l’agence de radier les données à caractère personnel la concernant figurant dans ledit contrat de société en précisant que, si le traitement de ces données reposait sur son consentement, elle le retirait.
38 En l’absence de réponse de l’agence, OL a saisi l’Administrativen sad Dobrich (tribunal administratif de Dobrich, Bulgarie), lequel a, par un jugement du 8 décembre 2021, annulé le refus implicite de l’agence de radier lesdites données et renvoyé l’affaire à celle-ci afin qu’elle adopte une nouvelle décision.
39 En exécution de ce jugement, et d’un jugement analogue concernant l’autre associé ayant effectué la même démarche, l’agence a, par un courrier du 26 janvier 2022, indiqué qu’une copie certifiée conforme du contrat de société concerné occultant les données à caractère personnel des associés, à l’exception de celles requises par la loi, devait lui être transmise pour qu’il puisse être fait droit à la demande de radiation de données à caractère personnel présentée par OL.
40 Le 31 janvier 2022, OL a de nouveau saisi l’Administrativen sad Dobrich (tribunal administratif de Dobrich) d’un recours tendant à l’annulation de ce courrier et à la condamnation de l’agence à l’indemniser du dommage moral que ledit courrier, portant atteinte aux droits conférés par le RGPD, lui aurait causé.
41 Le 1er février 2022, avant de recevoir notification de ce recours, l’agence a radié d’office le numéro d’identification, les données relatives à la carte d’identité et l’adresse d’OL, mais non ses nom, prénom et signature.
42 Par un jugement du 5 mai 2022, l’Administrativen sad Dobrich (tribunal administratif de Dobrich) a annulé le courrier du 26 janvier 2022 et condamné l’agence à indemniser OL à hauteur d’une somme de 500 leva bulgares (BGN) (environ 255 euros), majorée des intérêts légaux, au titre du dommage moral, en vertu de l’article 82 du RGPD. Selon ce jugement, d’une part, ce dommage consistait en des expériences psychologiques et émotionnelles négatives d’OL, à savoir la peur et l’inquiétude face à
d’éventuels abus ainsi que l’impuissance et la déception quant à l’impossibilité de protéger ses données à caractère personnel. D’autre part, ledit dommage résulterait de ce courrier, lequel aurait induit une violation du droit à l’effacement consacré à l’article 17, paragraphe 1, du RGPD ainsi qu’un traitement illicite de ses données à caractère personnel contenues dans le contrat de société concerné mis à la disposition du public.
43 La juridiction de renvoi, le Varhoven administrativen sad (Cour administrative suprême, Bulgarie), est saisie du pourvoi en cassation formé par l’agence contre ledit jugement.
44 Selon cette juridiction, l’agence fait valoir qu’elle est non seulement responsable du traitement, mais également destinataire des données à caractère personnel transmises dans le cadre de la procédure d’inscription de « Praven Shtit Konsulting ». En outre, l’agence n’aurait reçu aucune copie du contrat de société concerné occultant les données à caractère personnel d’OL qui ne devaient pas être mises à la disposition du public, alors qu’elle en aurait fait la demande préalablement à
l’inscription de cette société au registre du commerce. Or, l’absence d’une telle copie ne pourrait faire obstacle, à elle seule, à l’inscription d’une société commerciale à ce registre. Cela résulterait de l’avis no 01-116(20)/01.02.2021 de l’autorité de contrôle nationale, la Komisia za zashtita na lichnite danni (Commission pour la protection des données à caractère personnel, Bulgarie, présenté en vertu de l’article 58, paragraphe 3, sous b), du RGPD, auquel l’agence se réfère. Ladite
juridiction relève que, selon OL, l’agence, en tant que responsable du traitement, ne peut imposer à d’autres personnes ses obligations de radiation des données à caractère personnel, dès lors que, selon une jurisprudence nationale, cet avis ne serait pas conforme aux dispositions du RGPD.
45 La juridiction de renvoi ajoute que, compte tenu de cette jurisprudence nationale majoritaire, une clarification des exigences résultant de ce règlement apparaît nécessaire. En particulier, cette juridiction s’interroge sur la conciliation devant être effectuée entre, d’une part, le droit à la protection des données à caractère personnel et, d’autre part, la réglementation garantissant la publicité ainsi que l’accès à certains actes des sociétés, en précisant, notamment, que l’arrêt du 9 mars
2017, Manni (C‑398/15, EU:C:2017:197), ne permet pas de résoudre les difficultés d’interprétation que soulève la situation en cause au principal.
46 Dans ces conditions, le Varhoven administrativen sad (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 4, paragraphe 2, de la directive [2009/101] peut-il être interprété en ce sens qu’il impose à l’État membre une obligation d’autoriser la publicité d’un contrat de société dont l’inscription est requise au titre de l’article 119 [de la loi commerciale] et qui contient non seulement les noms des associés qui doivent obligatoirement être mis à la disposition du public sur la base de l’article 2, paragraphe 2, [de la loi relative aux registres], mais aussi d’autres données à caractère
personnel les concernant ? Dans la réponse à apporter à cette question, il importe de tenir compte du fait que l’[agence] est un organisme public à l’égard duquel, selon une jurisprudence constante de la Cour, les dispositions d’une directive ayant un effet direct peuvent être invoquées (arrêt du 7 septembre 2006, Vassallo, C‑180/04, EU:C:2006:518, point 26 et jurisprudence citée).
2) En cas de réponse affirmative à la question précédente, est-il possible de considérer que, dans les circonstances à l’origine du litige au principal, le traitement des données à caractère personnel par l’[agence] est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement au sens de l’article 6, [paragraphe] 1, sous e), du [RGPD] ?
3) En cas de réponse affirmative aux questions précédentes, est-il possible de considérer qu’une réglementation nationale telle que l’article 13, paragraphe 9, [de la loi relative aux registres], qui prévoit que, lorsque la demande ou les documents qui y sont joints mentionnent des données à caractère personnel qui ne sont pas requises par la loi, les personnes qui les ont fournies sont réputées avoir consenti à leur traitement par l’[agence] et à leur mise à la disposition du public est permise,
nonobstant les considérants 32, 40, 42, 43 et 50 du [RGPD], en ce qu’elle clarifie la possibilité d’une “publicité volontaire”, au sens de l’article 4, paragraphe 2, de la directive [2009/101], même de données à caractère personnel ?
4) Aux fins de la mise en œuvre de l’obligation incombant aux États membres en vertu de l’article 3, paragraphe 7, de la directive [2009/101] de prendre les mesures nécessaires pour éviter toute discordance entre la teneur de la publicité effectuée en application [de cet article 3, paragraphe 5,] et celle du registre ou du dossier et de prendre en considération les intérêts des tiers de connaître les actes essentiels de la société et certaines indications la concernant, mentionnés au
considérant 3 de cette directive, l’adoption d’une législation nationale qui prévoit des modalités procédurales (formulaires de demande, présentation d’une copie de documents occultant des données à caractère personnel) d’exercice du droit de la personne physique au titre de l’article 17 du [RGPD] de demander au responsable du traitement l’effacement de données à caractère personnel la concernant dans les meilleurs délais est-elle permise, lorsque les données à caractère personnel dont la
radiation est demandée font partie de documents publiés officiellement (mis à la disposition du public) et transmis au responsable du traitement selon des modalités procédurales similaires par un tiers qui a également déterminé la finalité du traitement qu’il a initié ?
5) Dans les circonstances à l’origine du litige au principal, l’[agence] agit-elle uniquement en qualité de responsable [du traitement] de données à caractère personnel ou bien est-elle également leur destinataire, lorsque la finalité de leur traitement en tant que partie de documents présentés en vue d’être mis à la disposition du public a été déterminée par un autre responsable du traitement ?
6) La signature manuscrite de la personne physique constitue-t-elle une information se rapportant à une personne physique identifiée et, partant, est-elle incluse dans la notion de “données à caractère personnel” au sens de l’article 4, paragraphe 1, du [RGPD] ?
7) Convient-il d’interpréter la notion de « dommage moral » [figurant] à l’article 82, paragraphe 1, du [RGPD] en ce sens qu’elle requiert l’existence de conséquences négatives perceptibles et d’une atteinte à des intérêts personnels objectivement démontrable, ou bien suffit-il que la personne concernée perde, brièvement, son droit souverain de disposer de ses données à caractère personnel en raison de la mise à la disposition de ces données au public dans le registre du commerce, en l’absence de
conséquences perceptibles ou défavorables pour la personne concernée ?
8) L’avis no 01-116(20)/01.02.2021 émis par l’autorité de contrôle nationale, la [Commission pour la protection des données à caractère personnel], sur le fondement de l’article 58, paragraphe 3, sous b), du [RGPD], selon lequel l’[agence] ne dispose pas de la possibilité juridique ni des pouvoirs de limiter, d’office ou sur demande de la personne concernée, le traitement de données déjà mises à la disposition du public, peut-il être considéré comme une preuve au sens de l’article 82,
paragraphe 3, du [RGPD] de ce que le fait prétendument à l’origine du dommage occasionné à la personne physique n’est nullement imputable à l’[agence] ? »
Sur les questions préjudicielles
Considérations liminaires
47 À titre liminaire, il convient de relever que les questions posées portent sur l’interprétation tant du RGPD que de la directive 2009/101, qui a été codifiée et remplacée par la directive 2017/1132, laquelle est applicable ratione temporis aux faits en cause au principal. Par conséquent, il y a lieu d’interpréter la demande de décision préjudicielle comme tendant à l’interprétation de la directive 2017/1132.
48 En outre, ainsi que Mme l’avocate générale l’a relevé au point 15 de ses conclusions, une partie de ces faits étant postérieure au 1er août 2021, date d’expiration du délai de transposition de la directive 2019/1151, figurant à l’article 2, paragraphe 1, de cette dernière directive, il appartient à la juridiction de renvoi de vérifier si lesdits faits relèvent du champ d’application ratione temporis de la directive 2017/1132 ou de la directive 2017/1132, telle que modifiée par la directive
2019/1151.
49 Cela étant, il convient de relever que les modifications du libellé des articles 16 et 161 de la directive 2017/1132 et l’ajout d’un article 16 bis à cette directive résultant de la directive 2019/1151 sont sans incidence sur l’analyse que la Cour est appelée à effectuer dans la présente affaire, de sorte que les réponses qui seront apportées dans le présent arrêt seront en tout état de cause pertinentes.
Sur la première question
50 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 21, paragraphe 2, de la directive 2017/1132 doit être interprété en ce sens qu’il impose à un État membre une obligation d’autoriser la publicité, dans le registre du commerce, d’un contrat de société soumis à la publicité obligatoire prévue par cette directive et contenant des données à caractère personnel autres que les données à caractère personnel minimales requises, dont la publication n’est pas exigée par
le droit de cet État membre.
51 En particulier, cette juridiction s’interroge sur la portée de la publicité volontaire mentionnée à cette disposition et cherche à déterminer si ladite disposition impose aux États membres d’autoriser la publicité d’indications figurant dans les actes des sociétés, telles que des données à caractère personnel, qu’ils n’ont pas exigées au titre de la publicité obligatoire prévue par ladite directive.
52 Aux termes de l’article 21, paragraphe 2, premier alinéa, de la directive 2017/1132, « [o]utre la publicité obligatoire visée à l’article 16 [de cette directive], les États membres autorisent la publicité volontaire des traductions des actes et indications visés à l’article 14 [de ladite directive], conformément à l’article 16 [de celle-ci], dans toute langue officielle de l’Union ». Le deuxième alinéa de cet article 21, paragraphe 2, autorise les États membres à prescrire que « la traduction de
ces actes et indications » soit certifiée. Enfin, le troisième alinéa dudit article 21, paragraphe 2, concerne les mesures nécessaires pour faciliter l’accès des tiers aux « traductions » qui ont fait l’objet d’une publicité volontaire.
53 L’article 14 de la directive 2017/1132 énumère quant à lui les actes et indications devant, au moins, être obligatoirement publiés par les sociétés concernées. Ces actes et indications doivent, conformément à l’article 16, paragraphes 3 à 5, de cette directive, être versés au dossier ou transcrits au registre, être accessibles par l’obtention d’une copie intégrale ou partielle sur demande et faire l’objet d’une publicité assurée par la publication, soit intégrale ou par extrait soit sous forme
d’une mention, dans le bulletin national, ou par une mesure d’effet équivalent.
54 À cet égard, compte tenu, notamment, de l’emploi répété du terme « traductions » à l’article 21, paragraphe 2, de la directive 2017/1132, il ressort du libellé de cette disposition que celle-ci concerne la publicité volontaire des traductions des actes et indications visés à l’article 14 de cette directive dans une langue officielle de l’Union et, partant, seulement la langue de publication de ces actes et indications. En revanche, ladite disposition ne se réfère pas au contenu desdits actes et
indications.
55 Partant, ce libellé tend à indiquer que cet article 21, paragraphe 2, ne saurait être interprété comme imposant aux États membres une quelconque obligation relative à la publicité de données à caractère personnel dont la publicité n’est exigée ni par d’autres dispositions du droit de l’Union ni par le droit de l’État membre concerné, mais qui figurent dans un acte soumis à la publicité obligatoire prévue par ladite directive.
56 Or, dès lors que le sens d’une disposition du droit de l’Union ressort sans ambiguïté du libellé même de celle-ci, la Cour ne saurait se départir de cette interprétation (arrêt du 25 janvier 2022, VYSOČINA WIND, C‑181/20, EU:C:2022:51, point 39).
57 En tout état de cause, s’agissant du contexte de l’article 21, paragraphe 2, de la directive 2017/1132, l’intitulé de cet article, qui se réfère à la « [l]angue pour la publicité et traduction des actes et indications soumis à publicité », de même que les autres paragraphes de cet article corroborent l’interprétation retenue au point 55 du présent arrêt.
58 En effet, l’article 21, paragraphe 1, de la directive 2017/1132 dispose que « les actes et indications soumis à publicité en vertu de l’article 14 [de cette directive] sont établis et déposés dans l’une des langues autorisées » par les règles nationales applicables en la matière. Cet article 21, paragraphe 3, prévoit que, outre la publicité obligatoire visée à l’article 16 de ladite directive et la publicité volontaire prévue audit article 21, paragraphe 2, les États membres peuvent permettre la
publicité des actes et indications concernés « dans toute autre langue ». Quant au même article 21, paragraphe 4, celui-ci se réfère à la « traduction volontairement publiée ».
59 Enfin, l’interprétation retenue au point 55 du présent arrêt est confirmée par le considérant 12 de la même directive, selon lequel il y a lieu de faciliter l’accès transfrontalier aux informations sur les sociétés en permettant, en plus de la publicité obligatoire effectuée dans l’une des langues autorisées des États membres des sociétés concernées, l’enregistrement volontaire, dans d’autres langues, des actes et indications obligatoires.
60 Eu égard à ce qui précède, il convient de répondre à la première question que l’article 21, paragraphe 2, de la directive 2017/1132 doit être interprété en ce sens qu’il n’impose pas à un État membre une obligation d’autoriser la publicité, dans le registre du commerce, d’un contrat de société soumis à la publicité obligatoire prévue par cette directive et contenant des données à caractère personnel autres que les données à caractère personnel minimales requises, dont la publication n’est pas
exigée par le droit de cet État membre.
Sur les deuxième et troisième questions
61 Eu égard à la réponse apportée à la première question, il n’y a pas lieu de répondre aux deuxième et troisième questions, qui ne sont posées que dans l’hypothèse d’une réponse affirmative à cette première question.
Sur la cinquième question
62 Par sa cinquième question, qu’il convient de traiter avant la quatrième question, la juridiction de renvoi demande, en substance, si le RGPD, notamment l’article 4, points 7 et 9, de celui-ci, doit être interprété en ce sens que l’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société, soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le
cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que « responsable du traitement » desdites données, au sens de cette disposition.
63 D’emblée, il y a lieu de rappeler que, conformément à l’article 161 de la directive 2017/1132, le traitement des données à caractère personnel effectué dans le cadre de cette directive est soumis à la directive 95/46 et, partant, au RGPD, dont l’article 94, paragraphe 2, précise que les références faites à cette dernière directive s’entendent comme faites à ce règlement.
64 À cet égard, il convient tout d’abord de relever que, en vertu de l’article 14, sous a), b), et d), de la directive 2017/1132, les États membres doivent prendre les mesures nécessaires pour que la publicité obligatoire relative aux sociétés porte au moins sur l’acte constitutif de la société concernée, sur ses modifications, et sur la nomination, la cessation des fonctions ainsi que l’identité des personnes qui, en tant qu’organe légalement prévu, ou membres d’un tel organe, ont le pouvoir
d’engager cette société à l’égard des tiers et de la représenter en justice ou participent à l’administration, à la surveillance ou au contrôle de ladite société. En outre, en vertu de l’article 4, sous i), de cette directive, les indications obligatoires à fournir dans l’acte constitutif qui fait l’objet d’une telle publicité comprennent l’identité des personnes physiques ou morales ou des sociétés qui ont signé ou au nom de qui a été signé cet acte.
65 En application de l’article 16, paragraphes 3 à 5, de ladite directive, comme indiqué au point 53 du présent arrêt, ces actes et indications doivent être versés au dossier ou transcrits au registre, être accessibles par l’obtention d’une copie intégrale ou partielle sur demande et faire l’objet d’une publicité assurée par la publication, soit intégrale ou par extrait soit sous forme de mention, dans le bulletin national, ou par une mesure d’effet équivalent.
66 Ainsi que Mme l’avocate générale l’a relevé au point 26 de ses conclusions, il revient, ainsi, aux États membres de déterminer, notamment, quelles catégories d’informations relatives à l’identité des personnes visées à l’article 4, sous i), et à l’article 14, sous d), de la directive 2017/1132, en particulier quels types de données à caractère personnel, font l’objet de publicité obligatoire, dans le respect du droit de l’Union.
67 Or, les indications relatives à l’identité de ces personnes constituent, en tant qu’informations concernant des personnes physiques identifiées ou identifiables, des « données à caractère personnel » au sens de l’article 4, point 1, du RGPD (voir, en ce sens, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 34).
68 Il en est de même des indications supplémentaires relatives à l’identité desdites personnes ou d’autres catégories de personnes que les États membres décident de soumettre à la publicité obligatoire, ou qui, comme en l’occurrence, figurent dans les actes soumis à une telle publicité sans que la mise à disposition de ces données soit requise par la directive 2017/1132 ou par le droit national mettant en œuvre cette directive.
69 Ensuite, quant à la notion de « destinataire » au sens de l’article 4, point 9, du RGPD, celle-ci désigne « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers », cette disposition précisant que sont exclues de cette définition les autorités publiques recevant communication de ces données dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union
ou au droit d’un État membre.
70 Or, en recevant, dans le cadre de la demande d’inscription d’une société au registre du commerce d’un État membre, communication des actes soumis à la publicité obligatoire visés à l’article 14 de la directive 2017/1132 contenant des données à caractère personnel, qu’elles soient requises ou non par cette directive ou par le droit national, l’autorité chargée de la tenue de ce registre a la qualité de « destinataire » de ces données au sens de l’article 4, point 9, du RGPD.
71 Enfin, en vertu de l’article 4, point 7, du RGPD, la notion de « responsable du traitement » couvre les personnes physiques ou morales, les autorités publiques, les services ou les autres organismes qui, seuls ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement. Cette disposition énonce également que, lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être
désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou le droit d’un État membre.
72 À cet égard, il convient de rappeler que, selon la jurisprudence de la Cour, ladite disposition vise à assurer, par une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées [arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑–231/22, EU:C:2024:7, point 28 et jurisprudence citée].
73 Compte tenu du libellé de l’article 4, point 7, du RGPD, lu à la lumière de cet objectif, il apparaît que, pour déterminer si une personne ou une entité doit être qualifiée de « responsable du traitement », au sens de cette disposition, il convient de rechercher si cette personne ou cette entité détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement ou bien si ceux-ci sont déterminés par le droit de l’Union ou le droit national. Lorsqu’une telle détermination
est effectuée par le droit national, il convient alors de vérifier si ce droit désigne le responsable du traitement ou prévoit les critères spécifiques applicables à sa désignation [voir, en ce sens, arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑–231/22, EU:C:2024:7, point 29].
74 Il importe également de préciser que, eu égard à la définition large de la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, la détermination des finalités et des moyens du traitement et, le cas échéant, la désignation de ce responsable par le droit national peuvent être non seulement explicites, mais également implicites. Dans ce dernier cas de figure, il est néanmoins requis que cette détermination découle de manière suffisamment certaine du rôle, de la mission
et des attributions dévolus à la personne ou à l’entité concernée [arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑231/22, EU:C:2024:7, point 30].
75 En outre, en transcrivant et en conservant des données à caractère personnel reçues dans le cadre d’une demande d’inscription d’une société au registre du commerce d’un État membre, en communiquant celles-ci, le cas échéant, sur demande à des tiers et en les publiant dans le bulletin national, ou par une mesure d’effet équivalent, l’autorité chargée de la tenue de ce registre effectue des traitements de données à caractère personnel pour lesquels elle est le « responsable du traitement » au sens
de l’article 4, points 2 et 7, du RGPD (voir, en ce sens, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 35).
76 En effet, ces traitements de données à caractère personnel sont distincts et postérieurs à la communication des données à caractère personnel effectuée par le demandeur de cette inscription et reçue par cette autorité. De plus, cette dernière procède seule auxdits traitements, conformément aux finalités et aux modalités qui sont fixées par la directive 2017/1132 et par la législation de l’État membre concerné mettant en œuvre cette directive.
77 À cet égard, il convient de préciser qu’il ressort des considérants 7 et 8 de ladite directive que la publicité prévue par celle-ci vise à protéger notamment les intérêts des tiers par rapport aux sociétés par actions et aux sociétés à responsabilité limitée, dès lors qu’elles n’offrent comme garantie à l’égard des tiers que leur patrimoine social. À cette fin, cette publicité doit permettre aux tiers de connaître les actes essentiels de la société concernée et certaines indications la
concernant, notamment l’identité des personnes qui ont le pouvoir de l’engager.
78 En outre, le but de la même directive est d’assurer la sécurité juridique dans les rapports entre les sociétés et les tiers dans la perspective d’une intensification des courants d’affaires entre les États membres à la suite de la création du marché intérieur. Dans cette perspective, il importe que toute personne désireuse d’établir et de poursuivre des rapports d’affaires avec des sociétés situées dans d’autres États membres puisse aisément prendre connaissance des données essentielles relatives
à la constitution des sociétés commerciales et aux pouvoirs des personnes chargées de les représenter, ce qui nécessite que toutes les données pertinentes figurent de manière explicite dans le registre (voir, en ce sens, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 50).
79 Or, ainsi que Mme l’avocate générale l’a observé au point 39 de ses conclusions, en transmettant à l’autorité chargée de la tenue du registre du commerce d’un État membre les actes et indications soumis à la publicité obligatoire prévue par la directive 2017/1132 et en traitant, ainsi, les données à caractère personnel que ces actes contiennent, le demandeur de l’inscription d’une société à ce registre n’exerce aucune influence sur la détermination des finalités et des traitements ultérieurs
effectués par cette autorité. En outre, il poursuit des finalités différentes et qui lui sont propres, à savoir remplir les formalités nécessaires à cette inscription.
80 En l’occurrence, ainsi que Mme l’avocate générale l’a relevé aux points 31 et 32 de ces conclusions, il ressort de la demande de décision préjudicielle que la mise à la disposition du public des données à caractère personnel d’OL est intervenue dans l’exercice des attributions dévolues à l’agence en tant qu’autorité chargée de la tenue du registre du commerce, les finalités et les moyens du traitement de ces données étant déterminés tant par le droit de l’Union que par la législation nationale en
cause au principal, notamment par l’article 13, paragraphe 9, de la loi relative aux registres. Ainsi, le fait qu’une copie certifiée conforme du contrat de société concerné occultant les données à caractère personnel non requises par cette législation n’a pas été transmise, contrairement aux modalités procédurales prévues par ladite législation, n’a pas d’incidence sur la qualification de l’agence de « responsable de ce traitement ».
81 Cette qualification n’est pas non plus remise en cause par le fait que l’agence ne contrôle pas, en vertu de la même législation, avant leur mise en ligne, les données à caractère personnel contenues dans les images électroniques ou les originaux des documents qui lui sont transmis aux fins de l’inscription d’une société. À cet égard, la Cour a déjà jugé qu’il serait contraire à l’objectif de l’article 4, point 7, du RGPD, visé au point 72 du présent arrêt, d’exclure de la notion de « responsable
du traitement » le Journal officiel d’un État membre au motif que ce dernier n’exerce pas de contrôle sur les données à caractère personnel figurant dans ses publications [arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑231/22, EU:C:2024:7, point 38].
82 Dans ces circonstances, il apparaît que, dans une situation telle que celle en cause au principal, l’agence est responsable du traitement des données à caractère personnel d’OL consistant en la mise à la disposition du public, en ligne, de ces données, même si une copie du contrat de société concerné occultant les données à caractère personnel non requises par la législation nationale en cause au principal aurait dû lui être transmise, en vertu de cette législation, ce qu’il appartient à la
juridiction de renvoi de vérifier. Partant, l’agence est également responsable, en vertu de l’article 5, paragraphe 2, du RGPD, du respect du paragraphe 1 de cet article.
83 Eu égard à ce qui précède, il convient de répondre à la cinquième question que le RGPD, notamment l’article 4, points 7 et 9, de celui-ci, doit être interprété en ce sens que l’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société
concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données, au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.
Sur la quatrième question
Sur la recevabilité
84 Le gouvernement bulgare soutient que la quatrième question est irrecevable dès lors qu’elle soulève un problème de nature hypothétique. En effet, selon ce gouvernement, cette question porterait sur la compatibilité avec l’article 16 de la directive 2017/1132 d’une législation nationale relative aux modalités procédurales pour l’exercice du droit visé à l’article 17 du RGPD qui n’a pas encore été adoptée.
85 Conformément à une jurisprudence constante, la procédure de renvoi préjudiciel prévue à l’article 267 TFUE instaure une coopération étroite entre les juridictions nationales et la Cour, fondée sur une répartition des fonctions entre elles, et constitue un instrument grâce auquel la Cour fournit aux juridictions nationales les éléments d’interprétation du droit de l’Union qui leur sont nécessaires pour la solution des litiges qu’elles sont appelées à trancher. Dans le cadre de cette coopération,
il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation du droit de l’Union, la Cour est, en principe, tenue de statuer [arrêt du
23 novembre 2021, IS (Illégalité de l’ordonnance de renvoi), C‑564/19, EU:C:2021:949, points 59 et 60 ainsi que jurisprudence citée].
86 Il s’ensuit que les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit
nécessaires pour répondre de façon utile aux questions qui lui sont posées [arrêt du 24 novembre 2020, Openbaar Ministerie (Faux en écritures), C‑510/19, EU:C:2020:953, point 26 et jurisprudence citée].
87 En l’occurrence, il ressort de la demande de décision préjudicielle que la juridiction de renvoi est appelée à se prononcer, en dernier ressort, sur la légalité du refus de l’agence opposé à la demande d’effacement de données à caractère personnel en cause au principal, au motif qu’une copie du contrat de société concerné occultant les données à caractère personnel non requises par la législation bulgare n’avait pas été fournie à l’agence, contrairement aux modalités procédurales prévues par
cette législation. En outre, il découle de cette demande qu’un tel refus correspond à la pratique de l’agence. Enfin, cette juridiction a précisé qu’une réponse de la Cour à la quatrième question était nécessaire pour la résolution du litige au principal, dans un contexte où la jurisprudence nationale n’est pas uniforme.
88 Il s’ensuit que, contrairement à ce que soutient le gouvernement bulgare, la quatrième question est recevable.
Sur le fond
89 Compte tenu des indications figurant dans la demande de décision préjudicielle, telles qu’exposées au point 87 du présent arrêt, il convient de considérer que, par sa quatrième question, la juridiction de renvoi demande, en substance, si la directive 2017/1132, en particulier l’article 16 de celle-ci, ainsi que l’article 17 du RGPD doivent être interprétés en ce sens qu’ils s’opposent à une réglementation ou à une pratique d’un État membre conduisant l’autorité chargée de la tenue du registre du
commerce de cet État membre à refuser toute demande d’effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu’une copie de ce contrat occultant ces données n’a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.
90 Conformément à l’article 17, paragraphe 1, du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs énoncés à cette disposition s’applique.
91 Tel est le cas, selon cet article 17, paragraphe 1, sous c), lorsque la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, de ce règlement et qu’il n’existe pas de « motif légitime impérieux pour le traitement » ou, conformément audit article 17, paragraphe 1, sous d), lorsque les données en question ont fait l’objet d’un « traitement illicite ».
92 Il découle également de l’article 17, paragraphe 3, sous b), du RGPD que cet article 17, paragraphe 1, ne s’applique pas dans la mesure où ce traitement est nécessaire pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
93 Dès lors, afin de déterminer si, dans une situation telle que celle en cause au principal, la personne concernée dispose d’un droit à l’effacement au titre de l’article 17 du RGPD, il convient, dans un premier temps, d’examiner le ou les motifs de licéité dont le traitement de ses données à caractère personnel est susceptible de relever.
94 À cet égard, il convient de rappeler que l’article 6, paragraphe 1, premier alinéa, du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite. Ainsi, pour qu’il puisse être considéré comme légitime, un traitement doit relever de l’un des cas prévus à cette disposition [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 99 et
jurisprudence citée].
95 En l’absence de consentement de la personne concernée au traitement de ses données à caractère personnel en vertu de cet article 6, paragraphe 1, premier alinéa, sous a), ou lorsque ce consentement n’a pas été donné de manière libre, spécifique, éclairée et univoque, au sens de l’article 4, point 11, du RGPD, un tel traitement peut néanmoins être justifié lorsqu’il répond à l’une des exigences de nécessité mentionnées audit article 6, paragraphe 1, premier alinéa, sous b) à f), de ce règlement
[voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑–252/21, EU:C:2023:537, point 92].
96 Dans ce contexte, les justifications prévues à cette dernière disposition, en ce qu’elles permettent de rendre licite un traitement de données à caractère personnel effectué en l’absence du consentement de la personne concernée, doivent faire l’objet d’une interprétation restrictive [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑–252/21, EU:C:2023:537, point 93 et jurisprudence citée].
97 Il convient également de préciser que, conformément à l’article 5 du RGPD, c’est sur le responsable du traitement que repose la charge de prouver que ces données sont notamment collectées pour des finalités déterminées, explicites et légitimes, qu’elles sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées et qu’elles sont traitées de manière licite, loyale et transparente au regard de la personne concernée [voir, en ce sens,
arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 95].
98 S’il appartient à la juridiction de renvoi de déterminer si les différents éléments d’un traitement tel que celui en cause au principal sont justifiés par l’une ou l’autre des nécessités visées à l’article 6, paragraphe 1, premier alinéa, sous a) à f), du RGPD, la Cour peut néanmoins lui fournir des indications utiles afin de lui permettre de trancher le litige dont elle est saisie [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau
social), C‑252/21, EU:C:2023:537, point 96].
99 En l’occurrence, tout d’abord, ainsi que l’a relevé Mme l’avocate générale au point 43 de ses conclusions, la présomption de consentement établie à l’article 13, paragraphe 9, de la loi relative aux registres, n’apparaît pas satisfaire aux conditions requises à l’article 6, paragraphe 1, premier alinéa, sous a), du RGPD, lu en combinaison avec l’article 4, point 11, de ce règlement.
100 En effet, comme il ressort des considérants 32, 42 et 43 dudit règlement, le consentement devrait être donné par un acte positif clair, par exemple au moyen d’une déclaration écrite ou d’une déclaration orale, sans être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. Par ailleurs, le consentement ne devrait pas constituer un fondement
juridique valable dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque ce dernier est une autorité publique.
101 Dès lors, une présomption telle que celle prévue à l’article 13, paragraphe 9, de la loi relative aux registres ne saurait être considérée comme établissant un consentement donné de manière libre, spécifique, éclairée et univoque au traitement de données à caractère personnel effectué par une autorité publique telle que l’agence.
102 Ensuite, les motifs de licéité prévus à l’article 6, paragraphe 1, premier alinéa, sous b) et d), relatifs à un traitement de données à caractère personnel nécessaire respectivement à l’exécution d’un contrat et à la sauvegarde des intérêts vitaux d’une personne physique, n’apparaissent pas pertinents au regard du traitement de données à caractère personnel en cause au principal. Il en est de même du motif de licéité prévu à cet article 6, paragraphe 1, premier alinéa, sous f), relatif à un
traitement de données à caractère personnel nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, dès lors qu’il ressort clairement du libellé dudit article 6, paragraphe 1, second alinéa, qu’un traitement de données à caractère personnel effectué par une autorité publique dans le cadre de l’exécution de ses missions ne peut pas relever du champ d’application de ce dernier motif [voir, en ce sens, arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia
sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale), C‑180/21, EU:C:2022:967, point 85].
103 S’agissant, enfin, des motifs de licéité figurant à l’article 6, paragraphe 1, premier alinéa, sous c) et e), du RGPD, il y a lieu de rappeler que, en vertu de cet article 6, paragraphe 1, premier alinéa, sous c), un traitement de données à caractère personnel est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. En outre, selon ledit article 6, paragraphe 1, premier alinéa, sous e), est également licite le traitement qui est
nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
104 L’article 6, paragraphe 3, du RGPD précise notamment, à l’égard de ces deux hypothèses de licéité, que le traitement doit être fondé sur le droit de l’Union ou sur le droit de l’État membre auquel le responsable du traitement est soumis, que cette base juridique doit répondre à un objectif d’intérêt public et qu’elle doit être proportionnée à l’objectif légitime poursuivi.
105 Concernant, en premier lieu, la question de savoir si le traitement en cause au principal est nécessaire au respect d’une obligation légale découlant du droit de l’Union ou du droit de l’État membre auquel le responsable du traitement est soumis, au sens de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, il convient de relever, à l’instar de Mme l’avocate générale aux points 45 et 47 de ses conclusions, que la directive 2017/1132 n’impose pas le traitement systématique de toute
donnée à caractère personnel contenue dans un acte soumis à la publicité obligatoire prévue par cette directive. Au contraire, il découle de l’article 161 de ladite directive que le traitement de données à caractère personnel effectué dans le cadre de la directive 2017/1132, et, en particulier, toute collecte, conservation, mise à la disposition de tiers et publication d’informations au titre de cette directive, doit pleinement satisfaire aux exigences découlant du RGPD.
106 Il incombe, ainsi, aux États membres, dans le cadre de la mise en œuvre des obligations imposées par ladite directive, de veiller à concilier, d’une part, les objectifs de sécurité juridique et de protection des intérêts des tiers, poursuivis par la même directive et rappelés au point 77 du présent arrêt, et, d’autre part, les droits consacrés par le RGPD et le droit fondamental à la protection des données à caractère personnel, et ce en effectuant une pondération équilibrée entre ces objectifs
et ces droits (voir, en ce sens, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija, C‑184/20, EU:C:2022:601, point 98).
107 Dès lors, il ne saurait être considéré que la mise à la disposition du public, en ligne, dans le registre du commerce, de données à caractère personnel non requises par la directive 2017/1132 ou par la législation nationale en cause au principal figurant dans un contrat de société soumis à la publicité obligatoire prévue par cette directive et transmis à l’agence est justifiée par l’exigence d’assurer la publicité des actes visés à l’article 14 de ladite directive conformément à l’article 16 de
celle-ci, et que, partant, elle résulte d’une obligation légale prévue par le droit de l’Union.
108 La licéité du traitement en cause au principal n’apparaît pas non plus reposer, sous réserve de vérification de la juridiction de renvoi, sur une obligation légale prévue par le droit de l’État membre auquel le responsable du traitement est soumis au sens de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, en l’occurrence le droit bulgare, dans la mesure, d’une part, où il ressort du dossier dont dispose la Cour que l’article 2, paragraphe 2, de la loi relative aux registres prévoit
que les actes devant figurer dans le registre du commerce sont mis à la disposition du public exempts des informations constituant des données à caractère personnel, « à l’exception des informations qui doivent être mises à la disposition du public en vertu de la loi », et où, d’autre part, l’article 13, paragraphe 9, de cette loi institue une présomption de consentement qui, ainsi qu’il ressort du point 99 du présent arrêt, ne répond pas aux exigences du RGPD.
109 Concernant, en second lieu, la question de savoir si le traitement en cause au principal est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD, auquel se réfèrent, notamment, tant la juridiction de renvoi que le gouvernement bulgare et l’agence, la Cour a déjà jugé que l’activité d’une autorité publique consistant à
sauvegarder, dans une base de données, des données que les sociétés sont tenues de communiquer sur la base d’obligations légales, à permettre aux personnes intéressées de consulter ces données et à leur fournir des copies de celles-ci relève de l’exercice de prérogatives de puissance publique et constitue une mission d’intérêt public au sens de cette disposition (voir, en ce sens, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 43).
110 Il s’ensuit que le traitement en cause au principal apparaît, certes, réalisé à l’occasion d’une mission d’intérêt public au sens de ladite disposition. Toutefois, afin de répondre aux conditions posées par cette même disposition, il est nécessaire que ce traitement réponde effectivement aux objectifs d’intérêt général poursuivis, sans aller au-delà de ce qui est nécessaire pour réaliser ces objectifs [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité),
C‑439/19, EU:C:2021:504, point 109].
111 Cette exigence de nécessité n’est pas remplie lorsque l’objectif d’intérêt général visé peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis aux articles 7 et 8 de la Charte, les dérogations et les restrictions au principe de la protection de telles données devant s’opérer dans les
limites du strict nécessaire [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 110 et jurisprudence citée].
112 Or, ainsi que Mme l’avocate générale l’a relevé au point 51 de ses conclusions, la mise à la disposition du public, en ligne, de données à caractère personnel qui ne sont requises ni par la directive 2017/1132 ni par le droit national ne saurait être considérée en soi comme étant nécessaire à la réalisation des objectifs poursuivis par cette directive.
113 En particulier, quant à l’existence de moyens moins attentatoires aux droits fondamentaux des personnes concernées, il convient de relever que la législation nationale en cause au principal prévoit que le demandeur de l’inscription d’une société au registre du commerce est tenu de fournir une copie de l’acte de cette société expurgée des données à caractère personnel non requises destinée à être publiée dans ce registre et accessible aux tiers, laquelle n’a, en l’occurrence, jamais été fournie à
l’agence, même après une demande de sa part. Toutefois, le gouvernement bulgare et l’agence ont confirmé que, même après un délai raisonnable et lorsque la personne concernée n’est pas en mesure d’obtenir de la société concernée ou de ses représentants une telle copie, cette législation ne prévoit pas que l’agence puisse établir elle-même cette copie, ce qui constituerait pourtant un moyen permettant d’atteindre de manière aussi efficace les objectifs d’assurer la publicité des actes des
sociétés, la sécurité juridique et la protection des intérêts des tiers, tout en étant moins attentatoire au droit à la protection des données à caractère personnel.
114 Il convient encore de relever, à l’instar de Mme l’avocate générale au point 56 de ses conclusions, que, contrairement à ce qu’ont fait valoir plusieurs États membres dans leurs observations devant la Cour, l’exigence de préserver l’intégrité et la fiabilité des actes des sociétés soumis à la publicité obligatoire prévue par la directive 2017/1132, laquelle commanderait la publication de ces actes tels qu’ils ont été transmis aux autorités chargées de la tenue du registre du commerce, ne saurait
systématiquement prévaloir sur ce droit, sous peine de rendre sa protection illusoire.
115 En particulier, cette exigence ne saurait imposer le maintien à la disposition du public, en ligne, dans ce registre, de données à caractère personnel non requises par la directive 2017/1132 ou par le droit national, alors que, ainsi qu’il ressort du point 113 du présent arrêt, l’agence pourrait établir elle-même la copie de l’acte de la société concernée, prévue par ce droit, en vue de cette mise à disposition.
116 Il s’ensuit que le traitement de données à caractère personnel en cause au principal paraît, en tout état de cause, aller au-delà de ce qui est nécessaire à l’exécution de la mission d’intérêt public dont l’agence est investie en vertu de ladite législation nationale.
117 Par conséquent, comme Mme l’avocate générale l’a observé au point 59 de ses conclusions, sous réserve des vérifications qu’il appartient à la juridiction de renvoi d’effectuer, un tel traitement ne semble pas non plus satisfaire aux conditions de licéité prévues à l’article 6, paragraphe 1, premier alinéa, sous c) et e), lu en combinaison avec l’article 6, paragraphe 3, du RGPD.
118 Dans un second temps, s’agissant de la demande d’effacement au titre de l’article 17 du RGPD en cause au principal, il convient de relever que, dans l’hypothèse où la juridiction de renvoi devrait conclure, au terme de son appréciation sur la licéité de ce traitement, que ledit traitement n’est pas licite, il incomberait à l’agence, en tant que responsable du traitement, ainsi qu’il ressort des points 82 et 83 du présent arrêt, selon le libellé clair de l’article 17, paragraphe 1, sous d), du
RGPD, d’effacer les données concernées dans les meilleurs délais [voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 108].
119 Si cette juridiction concluait, en revanche, que ce traitement répond effectivement au motif de licéité prévu à l’article 6, paragraphe 1, sous e), du RGPD, notamment dans la mesure où la mise à la disposition du public, en ligne, dans le registre du commerce, de données non requises par la directive 2017/1132 ou par la législation nationale en cause au principal, était nécessaire pour éviter de retarder l’inscription de la société concernée, dans l’intérêt de la protection des tiers, il
convient de relever que l’article 17, paragraphe 1, sous c), du RGPD trouverait à s’appliquer.
120 Il résulte de cette dernière disposition, lue en combinaison avec l’article 21, paragraphe 1, du RGPD, que la personne concernée dispose d’un droit de s’opposer au traitement et d’un droit à l’effacement, à moins qu’il n’existe des motifs légitimes impérieux qui prévalent sur les intérêts ainsi que sur les droits et les libertés de cette personne au sens de cet article 21, paragraphe 1, ce qu’il appartient au responsable du traitement de démontrer [voir, en ce sens, arrêt du 7 décembre 2023,
SCHUFA Holding (Libération de reliquat de dette), C‑26/22 et C‑64/22, EU:C:2023:958, point 111].
121 Or, dans une situation telle que celle en cause au principal, il ne semble pas exister de motif légitime impérieux, au sens de cette disposition, susceptible de s’opposer à une telle demande d’effacement.
122 En effet, d’une part, il ressort de la décision de renvoi que la société dans laquelle OL est associée est déjà inscrite au registre du commerce.
123 D’autre part, ainsi qu’il a été relevé au point 115 du présent arrêt, l’exigence de préserver l’intégrité et la fiabilité des actes des sociétés soumis à la publicité obligatoire prévue par la directive 2017/1132 ne saurait imposer le maintien à la disposition du public, en ligne, dans ce registre, de données à caractère personnel non requises par la directive 2017/1132 ou par le droit national.
124 Enfin, à supposer que la juridiction de renvoi parvienne à la conclusion que le traitement de données à caractère personnel en cause au principal répond effectivement au motif de licéité prévu à l’article 6, paragraphe 1, sous c), du RGPD, il convient de relever que le RGPD, et notamment son article 17, paragraphe 3, sous b), consacre explicitement l’exigence d’une mise en balance entre, d’une part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère
personnel, consacrés aux articles 7 et 8 de la Charte, et, d’autre part, les objectifs légitimement poursuivis par le droit de l’Union ou le droit des États membres se trouvant à la base de l’obligation légale pour le respect de laquelle le traitement est nécessaire [voir, par analogie, arrêt du 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact), C‑460/20, EU:C:2022:962, point 58 et jurisprudence citée].
125 Ainsi que la Cour l’a déjà jugé, une limitation de l’accès aux données à caractère personnel que le droit de l’Union soumet à une publicité obligatoire, aux seuls tiers justifiant d’un intérêt spécifique, peut, au cas par cas, être justifiée, pour des raisons prépondérantes et légitimes tenant à la situation particulière des personnes concernées (voir, en ce sens, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 60).
126 Ainsi que Mme l’avocate générale l’a relevé au point 67 de ses conclusions, il doit en aller, a fortiori, de même, dans le cas où, comme en l’occurrence, les données à caractère personnel concernées ne sont requises ni par la directive 2017/1132 ni par le droit national.
127 Compte tenu de ces éléments, il convient de répondre à la quatrième question que la directive 2017/1132, en particulier l’article 16 de celle-ci, ainsi que l’article 17 du RGPD doivent être interprétés en ce sens qu’ils s’opposent à une réglementation ou à une pratique d’un État membre conduisant l’autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d’effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit
État membre, figurant dans un contrat de société publié dans ce registre, lorsqu’une copie de ce contrat occultant ces données n’a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.
Sur la sixième question
128 Par sa sixième question, la juridiction de renvoi demande, en substance, si l’article 4, point 1, du RGPD doit être interprété en ce sens que la signature manuscrite d’une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition.
129 Ladite disposition prévoit que constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable » et précise qu’« est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à
son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
130 À cet égard, la Cour a déjà jugé que l’emploi de l’expression « toute information » dans la définition de la notion de « données à caractère personnel », figurant à la même disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (arrêt du 4 mai 2023,
Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 23).
131 Une information concerne une personne physique identifiée ou identifiable lorsque, en raison de son contenu, de sa finalité ou de son effet, elle est liée à une personne identifiable (arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 24).
132 Quant au caractère « identifiable » d’une personne physique, le considérant 26 du RGPD précise qu’il convient de prendre en considération « l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage ».
133 Il en résulte que la définition large de la notion de « données à caractère personnel » ne couvre pas seulement les données collectées et conservées par le responsable du traitement, mais inclut également toutes les informations résultant d’un traitement de données à caractère personnel qui concernent une personne identifiée ou identifiable (voir, en ce sens, arrêt du 4 mai 2023, Österreichische Datenschutzbehörde et CRIF, C‑487/21, EU:C:2023:369, point 26).
134 Il résulte également de la jurisprudence de la Cour que l’écriture manuscrite d’une personne physique donne une information concernant cette personne (voir, en ce sens, arrêt du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 37).
135 Enfin, il convient de relever que la signature manuscrite d’une personne physique est, de manière générale, utilisée pour identifier cette personne, pour conférer une valeur probante, concernant leur exactitude et leur sincérité, aux documents sur lesquels elle est apposée ou pour en assumer la responsabilité. Par ailleurs, il apparaît que, sur le contrat de société concerné, la signature des associés accompagne le nom de ces derniers.
136 Eu égard à ce qui précède, il convient de répondre à la sixième question que l’article 4, point 1, du RGPD doit être interprété en ce sens que la signature manuscrite d’une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition.
Sur la septième question
137 Par sa septième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel, en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral » ou si cette notion de « dommage moral » requiert la démonstration de
l’existence de conséquences négatives tangibles supplémentaires.
138 À titre liminaire, il y a lieu de rappeler que cette disposition énonce que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du [RGPD] a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ».
139 À cet égard, dès lors que le RGPD n’opère pas de renvoi au droit des États membres en ce qui concerne le sens et la portée des termes figurant à ladite disposition, en particulier s’agissant des notions de « dommage matériel ou moral » et de « réparation du préjudice subi », ces termes doivent être considérés, aux fins de l’application de ce règlement, comme constituant des notions autonomes du droit de l’Union, qui doivent être interprétées de manière uniforme dans l’ensemble des États membres
[voir, en ce sens, arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 30].
140 À cet effet, l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens que la simple violation de ce règlement ne suffit pas pour conférer un droit à réparation, dès lors que l’existence d’un « dommage », matériel ou moral, ou d’un « préjudice » ayant été « subi » constitue l’une des conditions du droit à réparation prévu à cet article 82, paragraphe 1, tout comme l’existence d’une violation dudit règlement et d’un lien de causalité entre ce dommage et cette violation, ces trois
conditions étant cumulatives [arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 32, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 34].
141 Ainsi, la personne demandant réparation d’un dommage ou d’un préjudice moral sur le fondement de cette disposition est tenue d’établir non seulement la violation de dispositions du même règlement, mais également que cette violation lui a causé un tel dommage ou un tel préjudice. Un tel dommage ou un tel préjudice ne saurait donc seulement être présumé en raison de la survenance de ladite violation [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de
données personnelles), C‑300/21, EU:C:2023:370, points 42 et 50, ainsi que du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 35].
142 En particulier, une personne concernée par une violation du RGPD ayant eu des conséquences négatives à son égard est tenue de démontrer que ces conséquences sont constitutives d’un dommage moral, au sens de l’article 82 de ce règlement, puisque la simple violation des dispositions de celui-ci ne suffit pas pour conférer un droit à réparation (arrêt du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 60 et jurisprudence citée).
143 Partant, lorsqu’une personne demandant réparation sur le fondement de cet article 82, paragraphe 1, invoque la crainte qu’une utilisation abusive de ses données à caractère personnel survienne dans le futur en raison de l’existence d’une telle violation, la juridiction nationale saisie doit vérifier que cette crainte peut être considérée comme étant fondée, dans les circonstances spécifiques en cause et au regard de la personne concernée (arrêt du 14 décembre 2023, Natsionalna agentsia za
prihodite, C‑340/21, EU:C:2023:986, point 85).
144 Cela étant, la Cour a déjà jugé qu’il ressort non seulement du libellé dudit article 82, paragraphe 1, du RGPD, lu à la lumière des considérants 85 et 146 de ce règlement, lesquels invitent à retenir une conception large de la notion de « dommage moral », au sens de cette première disposition, mais également de l’objectif consistant à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel, qui est visé par ledit règlement, que la
crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation du même règlement est susceptible, à elle seule, de constituer un « dommage moral », au sens du même article 82, paragraphe 1 [arrêt du 20 juin 2024, PS (Adresse erronée), C‑590/22, EU:C:2024:536, point 32 et jurisprudence citée].
145 En particulier, il ressort de la liste illustrative des « dommages » ou des « préjudices » susceptibles d’être subis par les personnes concernées figurant au considérant 85, première phrase, du RGPD que le législateur de l’Union a entendu inclure dans les notions de « dommage » et de « préjudice » susceptibles d’être subis par les personnes concernées, notamment, la simple « perte de contrôle » sur leurs propres données à caractère personnel, à la suite d’une violation de ce règlement, quand
bien même un usage abusif des données en cause ne se serait pas produit concrètement (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 82).
146 En outre, une interprétation de l’article 82, paragraphe 1, du RGPD selon laquelle la notion de « dommage moral », au sens de cette disposition, n’inclurait pas les situations où une personne concernée se prévaut uniquement de sa crainte que ses données à caractère personnel fassent l’objet d’un usage abusif par des tiers, à l’avenir, ne serait pas conforme à la garantie d’un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de
l’Union, qui est visée par ce règlement (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 83).
147 De même, cette notion ne saurait être circonscrite aux seuls dommages ou aux seuls préjudices d’une certaine gravité, en particulier quant à la durée de la période pendant laquelle les conséquences négatives de la violation dudit règlement ont été subies par les personnes concernées (voir, en ce sens, arrêt du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, points 16 et 19 ainsi que jurisprudence citée).
148 Ainsi, il ne saurait être considéré que, en sus des trois conditions énoncées au point 140 du présent arrêt, d’autres conditions d’engagement de la responsabilité prévue à l’article 82, paragraphe 1, du RGPD, telles que le caractère tangible du dommage ou le caractère objectif de l’atteinte, puissent être ajoutées (arrêt du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, point 17).
149 Cette disposition n’exige pas non plus que, à la suite d’une violation avérée de dispositions de ce règlement, le « dommage moral » allégué par la personne concernée doive atteindre un « seuil de minimis » pour que ce dommage puisse être réparé (arrêt du 14 décembre 2023, Gemeinde Ummendorf, C‑456/22, EU:C:2023:988, point 18).
150 Par conséquent, si rien ne s’oppose à ce que la publication sur Internet de données à caractère personnel et la perte consécutive de contrôle sur celles-ci pendant un court laps de temps puissent causer aux personnes concernées un « dommage moral », au sens de l’article 82, paragraphe 1, du RGPD, ouvrant droit à réparation, encore faut-il que ces personnes démontrent qu’elles ont effectivement subi un tel dommage, aussi minime fût-il (voir, en ce sens, arrêts du 14 décembre 2023, Gemeinde
Ummendorf, C‑456/22, EU:C:2023:988, point 22, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 42).
151 Enfin, il y a lieu de préciser que, dans le cadre de la fixation du montant de dommages-intérêts dus au titre du droit à réparation d’un dommage moral, un dommage moral causé par une violation de données à caractère personnel n’est pas, par nature, moins important qu’un dommage corporel (arrêt du 20 juin 2024, Scalable Capital, C‑182/22 et C‑189/22, EU:C:2024:531, point 39).
152 En outre, lorsqu’une personne parvient à démontrer que la violation du RGPD lui a causé un dommage ou un préjudice, au sens de l’article 82 de ce règlement, les critères d’évaluation de la réparation due dans le cadre des actions destinées à assurer la sauvegarde des droits que les justiciables tirent de cet article doivent être fixés au sein de l’ordre juridique de chaque État membre, pour autant qu’une telle réparation soit complète et effective (voir, en ce sens, arrêt du 20 juin 2024,
Scalable Capital, C‑182/22 et C‑189/22, EU:C:2024:531, point 43).
153 À cet égard, le droit à réparation prévu à cet article 82, paragraphe 1, notamment en cas de dommage moral, remplit une fonction exclusivement compensatoire, en ce qu’une réparation pécuniaire fondée sur cette disposition doit permettre de compenser intégralement le préjudice concrètement subi du fait de la violation dudit règlement, et non une fonction dissuasive ou punitive [voir, en ce sens, arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données
personnelles), C‑300/21, EU:C:2023:370, points 57 et 58, ainsi que du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 61].
154 Par ailleurs, d’une part, l’engagement de la responsabilité du responsable du traitement au titre de l’article 82 du RGPD est subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable, et, d’autre part, cet article 82 ne requiert pas que le degré de gravité de cette faute soit pris en compte lors de la fixation du montant des dommages-intérêts alloués en réparation d’un
préjudice moral sur le fondement dudit article (arrêts du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 103, et du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, point 52).
155 En l’occurrence, ainsi qu’il a été relevé au point 42 du présent arrêt, la juridiction de renvoi a précisé que l’Administrativen sad Dobrich (tribunal administratif de Dobrich) avait constaté l’existence d’un dommage moral consistant en des expériences psychologiques et émotionnelles négatives d’OL, à savoir la peur et l’inquiétude face à d’éventuels abus ainsi que l’impuissance et la déception quant à l’impossibilité de protéger ses données à caractère personnel. Il a également jugé que ce
dommage résulte du courrier de l’agence du 26 janvier 2022, lequel aurait induit une violation du droit à l’effacement consacré à l’article 17, paragraphe 1, du RGPD ainsi qu’un traitement illicite de ses données à caractère personnel contenues dans le contrat de société concerné mis à la disposition du public.
156 Eu égard aux considérations qui précèdent, il convient de répondre à la septième question que l’article 82, paragraphe 1, du RGPD doit être interprété en ce sens qu’une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a
effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives tangibles supplémentaires.
Sur la huitième question
157 Par sa huitième question, la juridiction de renvoi demande, en substance, si l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens qu’un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, suffit à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au
sens de l’article 4, point 7, du même règlement.
158 En premier lieu, s’agissant du régime de responsabilité prévu à l’article 82 du RGPD, il convient de rappeler que cet article prévoit, à son paragraphe 1, que toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ce règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. Ainsi qu’il ressort du point 140 du présent arrêt, ce droit à réparation est subordonné à la réunion de trois conditions cumulatives.
159 Conformément à l’article 82, paragraphe 2, première phrase, dudit règlement, tout responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du même règlement. Cette disposition, qui précise le régime de responsabilité dont le principe est établi au paragraphe 1 de cet article, reprend les trois conditions nécessaires pour faire naître le droit à réparation, à savoir un traitement de données à caractère personnel
effectué en violation des dispositions du RGPD, un dommage ou un préjudice subi par la personne concernée et un lien de causalité entre ce traitement illicite et ce dommage [arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles), C‑300/21, EU:C:2023:370, point 36].
160 L’article 82, paragraphe 3, du RGPD énonce quant à lui qu’un responsable du traitement est exonéré de responsabilité, au titre de ce paragraphe 2, s’il prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
161 Ainsi que la Cour l’a déjà jugé, il ressort d’une analyse combinée des paragraphes 1 à 3 de l’article 82 du RGPD, du contexte dans lequel s’insère cet article et des objectifs poursuivis par le législateur de l’Union à travers ce règlement que ledit article prévoit un régime de responsabilité pour faute dans lequel la charge de la preuve pèse non pas sur la personne qui a subi un dommage, mais sur le responsable du traitement (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung
Nordrhein, C‑667/21, EU:C:2023:1022, points 94 et 95).
162 En particulier, il ne serait pas conforme à l’objectif de garantir un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel d’opter pour une interprétation selon laquelle les personnes concernées ayant subi un dommage du fait d’une violation du RGPD devraient, dans le cadre d’une action en réparation fondée sur l’article 82 de celui-ci, supporter la charge de prouver non pas seulement l’existence de cette violation et du dommage en ayant
résulté pour elles, mais aussi l’existence d’une faute commise par le responsable du traitement délibérément ou par négligence, voire le degré de gravité de cette faute, alors même que cet article 82 ne formule pas de telles exigences (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 99).
163 Conformément à la jurisprudence citée au point 154 du présent arrêt, l’engagement de la responsabilité du responsable du traitement au titre dudit article 82 est ainsi subordonné à l’existence d’une faute commise par celui-ci, laquelle est présumée, à moins que ce dernier ne prouve que le fait qui a provoqué le dommage ne lui est nullement imputable.
164 À cet égard, comme le révèle l’ajout exprès de l’adverbe « nullement » au cours de la procédure législative, les circonstances dans lesquelles le responsable du traitement peut prétendre à être exonéré de la responsabilité civile qu’il encourt au titre de l’article 82 du RGPD doivent être strictement limitées à celles où ce responsable est en mesure de démontrer une absence d’imputabilité du dommage dans son propre chef (arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21,
EU:C:2023:986, point 70).
165 La Cour a également jugé que, en cas de violation de données à caractère personnel commise par un tiers, tel qu’un cybercriminel, ou par une personne agissant sous l’autorité du responsable du traitement, ce dernier est susceptible d’être exonéré de sa responsabilité, sur le fondement de l’article 82, paragraphe 3, du RGPD, uniquement en prouvant qu’il n’y a aucun lien de causalité entre l’éventuelle violation de l’obligation de protection des données pesant sur lui en vertu de ce règlement et
le dommage subi par la personne physique concernée (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 72, et du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 51).
166 Partant, pour que ce responsable puisse être exonéré de sa responsabilité, en vertu de cet article 82, paragraphe 3, il ne saurait être suffisant qu’il démontre qu’il avait donné des instructions aux personnes agissant sous son autorité au sens dudit règlement, et que l’une de ces personnes a failli à son obligation de suivre ces instructions, de sorte que celle-ci a contribué à la survenance du dommage en cause (voir, en ce sens, arrêt du 11 avril 2024, juris, C‑741/21, EU:C:2024:288,
point 52).
167 En deuxième lieu, s’agissant des règles afférentes aux moyens de preuve, il convient de rappeler que le RGPD n’énonce pas de règles relatives à l’admission et à la valeur probante d’un moyen de preuve qui doivent être appliquées par les juges nationaux saisis d’une action en réparation fondée sur l’article 82 de ce règlement. Partant, à défaut de règles du droit de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre de fixer les modalités des actions destinées
à assurer la sauvegarde des droits que les justiciables tirent de cet article 82 et, en particulier, les règles afférentes aux moyens de preuve, sous réserve du respect des principes d’équivalence et d’effectivité (voir, en ce sens, arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, point 60 et jurisprudence citée).
168 En troisième lieu, s’agissant d’un avis émis en vertu de l’article 58, paragraphe 3, sous b), du RGPD, il convient de rappeler que cet article fixe les pouvoirs des autorités de contrôle.
169 Ainsi, l’article 58 du RGPD confère à ces autorités, à son paragraphe 1, des pouvoirs d’enquête, à son paragraphe 2, le pouvoir d’adopter des mesures correctrices, à son paragraphe 3, les pouvoirs d’autorisation et les pouvoirs consultatifs qui y sont énumérés ainsi que, à son paragraphe 5, le pouvoir de porter toute violation de ce règlement à l’attention des autorités judiciaires et, le cas échéant, d’ester en justice en vue de faire appliquer les dispositions dudit règlement.
170 Or, parmi les pouvoirs énumérés à l’article 58, paragraphe 3, du RGPD figure, à cet article 58, paragraphe 3, sous b), celui d’« émettre, de sa propre initiative ou sur demande, des avis à l’attention du parlement national, du gouvernement de l’État membre ou, conformément au droit de l’État membre, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ».
171 Il ressort clairement du libellé de cette dernière disposition, en particulier du terme « avis », que l’émission d’un tel avis relève des pouvoirs consultatifs et non pas des pouvoirs d’autorisation de l’autorité de contrôle.
172 L’emploi des termes « avis » et « pouvoirs consultatifs » indique également qu’un avis émis sur le fondement de l’article 58, paragraphe 3, sous b), du RGPD n’est pas, en vertu du droit de l’Union, juridiquement contraignant.
173 Le considérant 143 du RGPD confirme cette interprétation. En effet, celui-ci énonce que « toute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet
de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une autorité de contrôle ».
174 Or, dès lors qu’un avis fourni au responsable du traitement n’est pas juridiquement contraignant, il ne saurait démontrer, en lui-même, une absence d’imputabilité du dommage dans le propre chef de ce responsable, au sens de la jurisprudence citée au point 164 du présent arrêt, ni, partant, suffire à exonérer ledit responsable de responsabilité en vertu de l’article 82, paragraphe 3, du RGPD.
175 Une telle interprétation de cet article 82, paragraphe 3, est également conforme aux objectifs poursuivis par le RGPD d’assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel et de garantir la réparation effective des dommages qu’elles peuvent subir du fait de traitements de ces données effectués en violation de ce règlement. En effet, s’il suffisait au responsable du traitement d’invoquer un avis juridiquement non
contraignant pour échapper à toute responsabilité et, corrélativement, à toute obligation de réparation, celui-ci ne serait pas incité à faire tout ce qui est en son pouvoir pour assurer ce niveau élevé de protection et respecter les obligations imposées par ledit règlement.
176 Eu égard à ce qui précède, il convient de répondre à la huitième question que l’article 82, paragraphe 3, du RGPD doit être interprété en ce sens qu’un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du
traitement » au sens de l’article 4, point 7, du même règlement.
Sur les dépens
177 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
1) L’article 21, paragraphe 2, de la directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés,
doit être interprété en ce sens que :
il n’impose pas à un État membre une obligation d’autoriser la publicité, dans le registre du commerce, d’un contrat de société soumis à la publicité obligatoire prévue par cette directive et contenant des données à caractère personnel autres que les données à caractère personnel minimales requises, dont la publication n’est pas exigée par le droit de cet État membre.
2) Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), notamment l’article 4, points 7 et 9, de celui-ci,
doit être interprété en ce sens que :
l’autorité chargée de la tenue du registre du commerce d’un État membre qui publie, dans ce registre, les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132, qui lui a été transmis dans le cadre d’une demande d’inscription de la société concernée audit registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données,
au sens de cette disposition, même lorsque ce contrat contient des données à caractère personnel non requises par cette directive ou par le droit de cet État membre.
3) La directive 2017/1132, en particulier l’article 16 de celle-ci, ainsi que l’article 17 du règlement 2016/679
doivent être interprétés en ce sens que :
ils s’opposent à une réglementation ou à une pratique d’un État membre conduisant l’autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d’effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu’une copie de ce contrat occultant ces données n’a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues
par cette réglementation.
4) L’article 4, point 1, du règlement 2016/679
doit être interprété en ce sens que :
la signature manuscrite d’une personne physique relève de la notion de « données à caractère personnel » au sens de cette disposition.
5) L’article 82, paragraphe 1, du règlement 2016/679
doit être interprété en ce sens que :
une perte de contrôle d’une durée limitée, par la personne concernée, sur ses données à caractère personnel en raison de la mise à la disposition du public de ces données, en ligne, dans le registre du commerce d’un État membre, peut suffire pour causer un « dommage moral », pour autant que cette personne démontre qu’elle a effectivement subi un tel dommage, aussi minime fût-il, sans que cette notion de « dommage moral » requière la démonstration de l’existence de conséquences négatives
tangibles supplémentaires.
6) L’article 82, paragraphe 3, du règlement 2016/679
doit être interprété en ce sens que :
un avis de l’autorité de contrôle d’un État membre, émis sur le fondement de l’article 58, paragraphe 3, sous b), de ce règlement, ne suffit pas à exonérer de responsabilité, au titre de l’article 82, paragraphe 2, dudit règlement, l’autorité chargée de la tenue du registre du commerce de cet État membre ayant la qualité de « responsable du traitement » au sens de l’article 4, point 7, du même règlement.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le bulgare.