| CJUE, Arrêt de la Cour, Amt der Tiroler Landesregierung contre Datenschutzbehörde., 27/02/2025, C-638/23

 ARRÊT DE LA COUR (huitième chambre)

27 février 2025 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de “responsable du traitement” – Désignation directe du responsable du traitement par le droit national – Entité administrative auxiliaire au service d’un gouvernement régional – Absence de personnalité juridique – Absence de capacité juridique propre – Détermination des finalités et des moyens du traitement »

Dans l’affaire C‑638/23,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgerichtshof (Cour administrative, Autriche), par décision du 23 août 2023, parvenue à la Cour le 24 octobre 2023, dans la procédure

Amt der Tiroler Landesregierung

contre

Datenschutzbehörde,

en présence de :

Bundesministerin für Justiz,

CW,

LA COUR (huitième chambre),

composée de M. N. Jääskinen, président de la neuvième chambre, faisant fonction de président de la huitième chambre, MM. M. Gavalec (rapporteur) et N. Piçarra, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour la Datenschutzbehörde, par M. M. Schmidl et Mme E. Wagner, en qualité d’agents,

– pour la Bundesministerin für Justiz, par M. E. Riedl, en qualité d’agent,

– pour le gouvernement autrichien, par M. A. Posch, Mmes J. Schmoll et Mme C. Gabauer, en qualité d’agents,

– pour la Commission européenne, par M. A. Bouchagiar et Mme M. Heller, en qualité d’agents,

vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant l’Amt der Tiroler Landesregierung (Office du gouvernement du Land du Tyrol, Autriche) (ci‑après l’« Office ») à la Datenschutzbehörde (Autorité de protection des données, Autriche) au sujet d’un traitement prétendument illégal des données à caractère personnel d’une personne physique par l’Office.

Le cadre juridique

Le droit de l’Union

3 Les considérants 1, 7, 10, 45 et 74 du RGPD sont libellés comme suit :

« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne [...] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[...]

(7) [...] Les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant. La sécurité tant juridique que pratique devrait être renforcée pour les personnes physiques, les opérateurs économiques et les autorités publiques.

[...]

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes
physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(45) Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre. Le présent règlement ne requiert pas de disposition légale spécifique pour chaque traitement individuel. Une disposition légale peut suffire pour
fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique. Il devrait également appartenir au droit de l’Union ou au droit d’un État membre de déterminer la finalité du traitement. Par ailleurs, ce droit pourrait préciser les conditions générales du présent règlement régissant la licéité du
traitement des données à caractère personnel, établir les spécifications visant à déterminer le responsable du traitement, le type de données à caractère personnel faisant l’objet du traitement, les personnes concernées, les entités auxquelles les données à caractère personnel peuvent être communiquées, les limitations de la finalité, la durée de conservation et d’autres mesures visant à garantir un traitement licite et loyal. Il devrait, également, appartenir au droit de l’Union ou au droit
d’un État membre de déterminer si le responsable du traitement exécutant une mission d’intérêt public ou relevant de l’exercice de l’autorité publique devrait être une autorité publique ou une autre personne physique ou morale de droit public ou, lorsque l’intérêt public le commande, y compris à des fins de santé, telles que la santé publique, la protection sociale et la gestion des services de soins de santé, de droit privé, telle qu’une association professionnelle.

[...]

(74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de
la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4 L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5 L’article 4 dudit règlement, intitulé « Définitions » est libellé comme suit :

« Aux fins du présent règlement, on entend par :

[...]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;

[...] »

6 Aux termes de l’article 5 du même règlement, intitulé « Principes relatifs au traitement des données à caractère personnel » :

« 1.   Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89,
paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;

f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

7 L’article 6 du RGPD, intitulé « Licéité du traitement », dispose, à ses paragraphes 1 et 3 :

« 1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[...]

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[...]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

[...]

3.   Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le
responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de
traitement comme le prévoit le chapitre IX. [...] »

Le droit autrichien

Le règlement du Land du Tyrol de 1989

8 L’article 56 du Landesverfassungsgesetz über die Verfassung des Landes Tirol (Tiroler Landesordnung 1989) [loi régionale relative à la constitution du Land du Tyrol (règlement du Land du Tyrol de 1989)], du 21 septembre 1988, dans sa version applicable au litige au principal (ci-après le « règlement du Land du Tyrol de 1989 »), intitulé « Landeshauptmann (gouverneur du Land, Autriche) (ci-après le “gouverneur”) », prévoit, à son paragraphe 1 :

« Le [gouverneur] représente le Land du Tyrol. »

9 L’article 58 du règlement du Land du Tyrol de 1989, intitulé « [Office] », dispose, à son paragraphe 1 :

« Le [gouverneur], le gouvernement du Land et ses membres doivent recourir à l’[Office] pour traiter leurs affaires. Le [gouverneur] est le président de l’[Office]. »

Le TDVG

10 L’article 2 du Tiroler Datenverarbeitungsgesetz (loi sur le traitement des données du Land du Tyrol, ci-après le « TDVG »), prévoit :

« 1.   Est considéré comme responsable du traitement au sens de l’article 4, point 7, du [RGPD] :

a) l’[Office] ;

[...]

3.   Lorsqu’un traitement de données est effectué ou commandé par le Land du Tyrol, l’[Office] est toujours considéré comme étant responsable d’un tel traitement dans la mesure où

a) il n’y a pas de responsabilité conjointe au sens du paragraphe 1, sous b) ou c), et

b) il n’y a pas de traitement confié au sens de l’article 5. »

Le litige au principal et la question préjudicielle

11 Dans le cadre de mesures destinées à lutter contre la pandémie de COVID-19, l’Office, une entité administrative auxiliaire au service du gouverneur et du gouvernement du Land du Tyrol, a envoyé une « lettre de rappel de vaccination » à toutes les personnes majeures résidant dans le Land du Tyrol n’ayant pas encore été vaccinées contre ce virus. Afin d’identifier les destinataires de ces lettres, l’Office a mandaté deux entreprises privées, qui ont procédé à un croisement des données figurant dans
le registre central des vaccinations ainsi que dans le registre des patients, lequel mentionnait leur adresse de résidence.

12 Le 21 décembre 2021, CW, l’un de ces destinataires, a saisi l’Autorité de protection des données d’une plainte contre l’Office au titre d’un traitement illégal de ses données à caractère personnel. Devant cette autorité, l’Office a indiqué avoir la qualité de « responsable du traitement » et qu’il était à l’origine de la lettre envoyée à CW.

13 Par décision du 22 août 2022, ladite autorité a constaté que l’Office avait violé le droit de CW à la protection de ses données à caractère personnel, dans la mesure où, afin de lui envoyer une « lettre de rappel de vaccination », l’Office avait consulté les données de l’intéressé figurant dans le registre des vaccinations, alors qu’il ne disposait pas d’un droit d’accès à ce registre ni au registre des patients. Le traitement des données à caractère personnel de CW aurait donc été illicite.

14 L’Office a introduit un recours contre cette décision devant le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche). Ce dernier a jugé que, sur le fondement du droit national applicable, l’Office avait la qualité de responsable du traitement, mais ne disposait pas d’un droit de consultation du registre des vaccinations aux fins de l’envoi d’une lettre de rappel telle que celle adressée à CW. Ce tribunal ayant rejeté le recours de l’Office, ce dernier a introduit un recours en
Revision contre ce jugement devant le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi.

15 Cette juridiction considère que, pour pouvoir statuer dans l’affaire dont elle est saisie, il convient de déterminer si l’Office, dans le contexte de cette affaire, a la qualité de « responsable du traitement », au sens de l’article 4, point 7, du RGPD.

16 À cet égard, la juridiction de renvoi souligne le fait que l’Office n’aurait fait que présenter au gouverneur une proposition d’envoi d’une « lettre de rappel de vaccination », proposition que celui-ci aurait approuvée en sa qualité de président de l’Office et de représentant du Land du Tyrol, conformément, respectivement, à l’article 58 et à l’article 56, paragraphe 1, du règlement du Land du Tyrol de 1989. L’Office se serait ainsi limité à indiquer au gouverneur, d’une part, quelle serait la
finalité du traitement des données à caractère personnel envisagé, à savoir une augmentation du taux de vaccination, et, d’autre part, les moyens qui seraient mis en œuvre sur la base de ce traitement, à savoir l’envoi d’une telle « lettre de rappel de vaccination » en utilisant les données du registre central de vaccination et du registre des patients.

17 Selon la juridiction de renvoi, compte tenu de cette approbation par le gouverneur, seul ce dernier a décidé tant de la finalité que des moyens de traitement des données à caractère personnel, de sorte que l’Office ne saurait avoir la qualité de « responsable du traitement », au sens de l’article 4, point 7, première phrase, du RGPD.

18 Néanmoins, cette juridiction se demande si l’Office a pu valablement être désigné comme tel par une disposition du droit national, à savoir l’article 2, paragraphe 1, sous a), du TDVG.

19 En effet, l’Office ne serait pas une personne morale ou une autorité chargée du traitement de données à caractère personnel qui a donné lieu à l’envoi d’une « lettre de rappel de vaccination » à CW. L’Office ne serait intervenu dans ce traitement qu’en tant qu’entité administrative auxiliaire au service d’une autorité publique. Il serait dépourvu de la personnalité juridique ainsi que d’une capacité juridique propre. Il conviendrait donc de déterminer si l’Office peut, dans ces circonstances,
être regardé comme un « service ou un autre organisme », au sens de l’article 4, point 7, première phrase, du RGPD, susceptible d’être désigné comme responsable du traitement en vertu du droit national, conformément à l’article 4, point 7, seconde phrase, de ce règlement.

20 En outre, ladite juridiction rappelle que, conformément à l’article 4, point 7, seconde phrase, du RGPD, un responsable du traitement ne peut être désigné directement que pour autant que les finalités et les moyens du traitement des données à caractère personnel concerné soient déterminés par le droit national. Or, si l’article 2, paragraphe 1, sous a), du TDVG désigne l’Office en tant que responsable du traitement, il n’indique cependant de manière concrète ni à quels types de traitements de
données à caractère personnel peut procéder l’Office, ni les finalités que ces traitements devraient poursuivre, ni les moyens que l’Office pourrait mettre en œuvre à cet effet.

21 La juridiction de renvoi ajoute qu’il résulte de l’article 6, paragraphe 1, sous c) et e), du RGPD qu’un traitement de données à caractère personnel est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Il résulterait de ces conditions de licéité et de l’objectif que
poursuivrait l’article 4, point 7, du RGPD d’assurer une protection efficace et étendue des personnes concernées que les États membres ne pourraient désigner comme responsable du traitement qu’une personne ou une entité qui est en mesure de déterminer les finalités ainsi que les moyens du traitement de données à caractère personnel ou, à tout le moins, de participer à cette détermination.

22 Dans ces conditions, le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 4, point 7, du [RGPD] doit-il être interprété en ce sens qu’il s’oppose à l’application d’une disposition du droit national (comme en l’espèce l’article 2, paragraphe 1, du [TDVG]) qui prévoit certes un responsable qui est désigné au sens de l’article 4, point 7, seconde phrase, du RGPD, mais

– qui est un simple office (comme en l’espèce l’[Office]) qui, bien qu’établi par la loi, n’est pas une personne physique ou morale et, en l’espèce, n’est pas non plus une autorité publique, mais agit uniquement en tant qu’instrument auxiliaire de celle-ci et ne dispose pas d’une capacité juridique (partielle) propre ;

– dont la désignation intervient sans faire référence à un traitement précis de données à caractère personnel et à qui, par conséquent, aucune finalité ni aucun moyen de traitement précis de données à caractère personnel ne sont prescrits par le droit de l’État membre ;

– qui, en l’espèce, n’a décidé, ni seul ni conjointement avec d’autres, des finalités et moyens du traitement de données à caractère personnel en cause ? »

Sur la question préjudicielle

23 Par sa question, la juridiction de renvoi demande, en substance, si l’article 4, point 7, du RGPD doit être interprété en ce sens qu’il s’oppose à une réglementation nationale qui désigne, en tant que responsable du traitement, une entité administrative auxiliaire dépourvue de la personnalité juridique ainsi que d’une capacité juridique propre, sans préciser, de manière concrète, les opérations spécifiques de traitement de données à caractère personnel dont cette entité est responsable ni la
finalité de ces opérations. Cette juridiction souhaite également savoir si l’article 4, point 7, du RGPD doit être interprété en ce sens qu’une entité désignée par le droit national comme responsable du traitement, conformément à cette disposition, doit décider effectivement des finalités et des moyens du traitement des données à caractère personnel pour être tenue de répondre, en tant que responsable du traitement, aux demandes que lui adressent les personnes concernées sur le fondement des
droits qu’elles tirent du RGPD.

24 À titre liminaire, il y a lieu de rappeler que, en vertu de l’article 4, point 7, du RGPD, la notion de « responsable du traitement » couvre les personnes physiques ou morales, les autorités publiques, les services ou les autres organismes qui, seuls ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement. Cette disposition énonce également que, lorsque les finalités et les moyens de ce traitement sont déterminés notamment par le droit d’un État membre, le
responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par ce droit.

25 Il résulte de la jurisprudence de la Cour que ladite disposition vise à assurer, par une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées (voir, en ce sens, arrêts du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, point 29, et du 5 décembre 2023, Deutsche Wohnen, C‑807/21, EU:C:2023:950, point 40).

26 L’objectif poursuivi par le RGPD, tel qu’il ressort de son article 1er ainsi que de ses considérants 1 et 10, consiste notamment à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la charte des droits fondamentaux et à l’article 16, paragraphe 1, TFUE (arrêt du 7 mars 2024, IAB Europe, C‑604/22,
EU:C:2024:214, point 53 et jurisprudence citée).

27 Compte tenu du libellé de l’article 4, point 7, du RGPD, lu à la lumière de cet objectif, pour déterminer si une personne ou une entité doit être qualifiée de « responsable du traitement », au sens de cette disposition, il convient de rechercher si cette personne ou cette entité détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement ou bien si ceux-ci sont déterminés par le droit national. Lorsqu’une telle détermination est effectuée par le droit national, il
convient alors de vérifier si ce droit désigne le responsable du traitement ou prévoit les critères spécifiques applicables à sa désignation [arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑231/22, EU:C:2024:7, point 29].

28 Eu égard à la définition large de la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, la détermination des finalités et des moyens du traitement et, le cas échéant, la désignation de ce responsable par le droit national peuvent être non seulement explicites, mais également implicites. Dans ce dernier cas de figure, il est néanmoins requis que cette détermination découle de manière suffisamment certaine du rôle, de la mission et des attributions dévolus à la
personne ou à l’entité concernée [arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑231/22, EU:C:2024:7, point 30].

29 C’est au regard de ces considérations liminaires qu’il y a lieu d’examiner la question posée. À cet effet, il convient, premièrement, de déterminer dans quelle mesure le législateur national peut valablement désigner une entité administrative auxiliaire au service des autorités publiques en tant que responsable du traitement, au sens de l’article 4, point 7, seconde phrase, du RGPD, lorsque cette entité est dépourvue de la personnalité juridique et d’une capacité juridique propre.

30 À cet égard, il y a lieu de relever, d’une part, que la Cour a déjà jugé qu’il ressort du libellé clair de l’article 4, point 7, du RGPD qu’un responsable du traitement peut être non seulement une personne physique ou morale, mais aussi une autorité publique, un service ou un organisme, de telles entités n’étant pas nécessairement dotées de la personnalité juridique en fonction du droit national [voir, en ce sens, arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel),
C‑231/22, EU:C:2024:7, point 36].

31 Ainsi, il ne saurait être exclu qu’une entité puisse être qualifiée de « responsable du traitement », au sens de cette disposition, quand bien même celle-ci serait dépourvue de la personnalité juridique.

32 D’autre part, en ce qui concerne le point de savoir si la qualification d’une entité en tant que « responsable du traitement » requiert l’existence d’une capacité juridique propre de cette entité, ou s’il suffit à cette fin que l’entité concernée soit dotée d’une certaine capacité de décision et d’action dans le cadre de la protection des données à caractère personnel, il convient de rappeler qu’il ressort du considérant 74 du RGPD que le législateur de l’Union a voulu que la responsabilité qui
pèse sur le responsable du traitement soit identique quel que soit le traitement de données à caractère personnel qu’il effectue, que ce soit par lui-même ou par l’intermédiaire d’un tiers, mais pour son compte. Ce législateur a également entendu veiller à ce que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec ce règlement, y compris l’efficacité des mesures en question, ces
dernières devant tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques.

33 C’est dans cette mesure que l’article 5, paragraphe 2, du RGPD consacre un principe de responsabilité, en vertu duquel le responsable du traitement est responsable du respect des principes relatifs au traitement des données à caractère personnel énoncés au paragraphe 1 de cet article 5, et prévoit que ledit responsable doit être en mesure de démontrer que ces principes sont respectés.

34 Compte tenu des obligations légales auxquelles est ainsi soumis le responsable du traitement visé à l’article 4, point 7, du RGPD, celui-ci doit, selon les modalités prévues par la réglementation de l’État membre dont il relève, être en mesure de répondre, en fait et en droit, à ces obligations, sans qu’ait d’incidence à cet égard le fait que cette entité possède ou non la personnalité juridique et une capacité juridique propre.

35 En l’occurrence, il incombe à la juridiction de renvoi de vérifier si l’Office est habilité par le droit autrichien à assumer les responsabilités et les obligations que le RGPD impose au responsable du traitement, eu égard notamment à la circonstance, non contestée devant les juridictions nationales ayant été saisies du litige au principal, que l’Office peut introduire un recours contre la décision de l’Autorité de protection des données, tout comme il peut faire l’objet d’une plainte devant
cette autorité. La juridiction de renvoi pourra également prendre en considération le fait que l’Office a mandaté deux entreprises privées pour effectuer des traitements des données à caractère personnel figurant dans le registre central des vaccinations et dans celui des patients résidant dans le Land de Tyrol.

36 Deuxièmement, la juridiction de renvoi se demande si un législateur national peut désigner une entité en tant que responsable du traitement, au titre de l’article 4, point 7, seconde phrase, du RGPD, sans préciser, de manière concrète, ni les traitements de données à caractère personnel que cette entité peut être amenée à effectuer, ni leur finalité, ni les moyens précis qu’elle peut mettre en œuvre aux fins de ce traitement.

37 Ainsi qu’il a été rappelé au point 28 du présent arrêt, lorsque le droit national désigne une entité en tant que responsable du traitement, la détermination des finalités et des moyens du traitement par ce droit peut être implicite, à condition que cette détermination découle de manière suffisamment certaine du rôle, de la mission et des attributions dévolus à cette entité. Cette condition est remplie si ces finalités et moyens ressortent, en substance, des dispositions de droit national
régissant l’activité de ladite entité.

38 La désignation directe, par le législateur national, d’une entité en tant que responsable du traitement contribue à l’objectif de sécurité juridique auquel tend le RGPD, ainsi qu’il ressort de son considérant 7, en permettant aux personnes physiques dont les données à caractère personnel sont soumises à un traitement d’identifier aisément l’entité chargée de veiller au respect des droits que leur confère ce règlement.

39 La validité d’une telle désignation est cependant subordonnée à la condition que la réglementation nationale détermine l’étendue du traitement des données à caractère personnel dont cette entité est désignée responsable, sans pour autant qu’il soit nécessaire que ce législateur ait énuméré, de manière exhaustive, toutes les opérations de traitement pour lesquelles ladite entité est ainsi désignée. Comme l’énonce le considérant 45 de ce règlement, « [u]ne disposition légale peut suffire pour
fonder plusieurs opérations de traitement basées sur une obligation légale à laquelle le responsable du traitement est soumis ou lorsque le traitement est nécessaire pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ».

40 Il s’ensuit qu’une réglementation nationale qui désigne une entité en tant que responsable du traitement sans énumérer expressément toutes les opérations spécifiques de traitement de données à caractère personnel dont elle est responsable ni la finalité de ces opérations de traitement est compatible avec l’article 4, point 7, du RGPD, pour autant que cette réglementation détermine, explicitement ou à tout le moins implicitement, l’étendue du traitement des données à caractère personnel dont cette
entité est désignée responsable.

41 En l’occurrence, il incombe à la juridiction de renvoi de vérifier, d’une part, si le traitement de données à caractère personnel auquel l’Office a procédé aux fins de la préparation et de l’envoi des « lettres de rappel de vaccination » en cause au principal est compatible avec les finalités auxquelles doivent répondre les opérations de traitement de données à caractère personnel dont l’Office a été désigné responsable, telles que ces finalités ressortent, à tout le moins implicitement, de
l’ensemble des dispositions de droit national régissant son activité et, d’autre part, les moyens qu’il peut mettre en œuvre à cet effet. La seule circonstance que ces dispositions nationales ne précisent pas, le cas échéant, de manière concrète, les opérations de traitement que l’Office est autorisé à effectuer, ne saurait exclure la qualification d’une entité telle que l’Office de responsable du traitement, au sens de l’article 4, point 7, du RGPD.

42 Troisièmement, la juridiction de renvoi demande si une entité désignée par la réglementation nationale comme responsable du traitement, au titre de l’article 4, point 7, seconde phrase, du RGPD, doit également décider elle-même, ou avec d’autres autorités compétentes, des finalités et des moyens du traitement des données à caractère personnel dont elle est désignée responsable, pour qu’elle soit tenue de répondre, en cette qualité, aux demandes que lui adressent les personnes concernées sur le
fondement des droits qu’elles tirent du RGPD.

43 À cet égard, il suffit d’observer que c’est afin d’établir la qualité de responsable du traitement d’une entité, au sens de l’article 4, point 7, première phrase, du RGPD, qu’il y a lieu d’examiner si cette entité a effectivement influé, à des fins qui lui sont propres, sur la détermination des finalités et des moyens de ce traitement (voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, points 30 et 31).

44 En revanche, afin d’établir la qualité de responsable du traitement d’une entité, au sens de l’article 4, point 7, seconde phrase, du RGPD, ainsi qu’il ressort du libellé clair de cette disposition, il n’est pas nécessaire que cette entité exerce une influence sur la détermination des finalités et des moyens de ce traitement.

45 Une telle entité, désignée par le droit national en tant que responsable du traitement, ne doit donc pas décider elle-même des finalités et des moyens du traitement des données à caractère personnel pour devoir répondre, en tant que responsable du traitement, aux demandes que les personnes concernées lui adressent sur le fondement des droits qu’elles tirent du RGPD.

46 À cet égard, la Cour a déjà jugé que la validité d’une désignation directe n’était pas affectée par la circonstance que, en vertu du droit national, l’entité désignée comme responsable du traitement n’exerce aucun contrôle sur les données à caractère personnel qu’elle est amenée à traiter [voir, en ce sens, arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑231/22, EU:C:2024:7, points 37 et 38].

47 Une telle interprétation est conforme à l’objectif de sécurité juridique que poursuit le RGPD. Comme l’a souligné la Commission européenne dans ses observations écrites, cet objectif serait compromis si, pour pouvoir considérer que cette désignation a été valablement opérée par le législateur national, les personnes concernées devaient vérifier que l’entité désignée en qualité de responsable du traitement de leurs données à caractère personnel a le pouvoir de déterminer elle-même les finalités et
les moyens d’un tel traitement.

48 Il importe encore d’ajouter que le fait qu’il ne soit pas nécessaire qu’une entité désignée par le droit national comme responsable du traitement soit également habilitée à décider elle-même des finalités et des moyens du traitement des données à caractère personnel pour devoir répondre, en tant que responsable du traitement, aux demandes que les personnes concernées lui adressent sur le fondement des droits qu’elles tirent du RGPD, ne prive pas pour autant ces personnes de la possibilité
d’adresser ces demandes à une autre entité qu’elles considèrent comme responsable ou conjointement responsable du traitement de leurs données à caractère personnel en raison de l’influence que cette autre entité a exercée sur la détermination des finalités et des moyens du traitement en question.

49 Compte tenu des motifs qui précèdent, il y a lieu de répondre à la question posée que l’article 4, point 7, du RGPD doit être interprété en ce sens qu’il ne s’oppose pas à une réglementation nationale qui désigne, en tant que responsable du traitement, une entité administrative auxiliaire dépourvue de la personnalité juridique ainsi que d’une capacité juridique propre, sans préciser, de manière concrète, les opérations spécifiques de traitement de données à caractère personnel dont cette entité
est responsable ni la finalité de ces opérations pour autant, d’une part, qu’une telle entité soit apte à répondre, conformément à cette réglementation nationale, aux obligations incombant à un responsable du traitement envers les personnes concernées en matière de protection des données à caractère personnel et, d’autre part, que ladite réglementation nationale détermine, explicitement ou à tout le moins implicitement, l’étendue du traitement des données à caractère personnel dont cette entité
est responsable.

Sur les dépens

50 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

  Par ces motifs, la Cour (huitième chambre) dit pour droit :

  L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

  doit être interprété en ce sens que :

  il ne s’oppose pas à une réglementation nationale qui désigne, en tant que responsable du traitement, une entité administrative auxiliaire dépourvue de la personnalité juridique ainsi que d’une capacité juridique propre, sans préciser, de manière concrète, les opérations spécifiques de traitement de données à caractère personnel dont cette entité est responsable ni la finalité de ces opérations pour autant, d’une part, qu’une telle entité soit apte à répondre, conformément à cette réglementation
nationale, aux obligations incombant à un responsable du traitement envers les personnes concernées en matière de protection des données à caractère personnel et, d’autre part, que ladite réglementation nationale détermine, explicitement ou à tout le moins implicitement, l’étendue du traitement des données à caractère personnel dont cette entité est responsable.

  Signatures

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

( *1 ) Langue de procédure : l’allemand.