ARRÊT DE LA COUR (première chambre)
3 avril 2025 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 4 – Définitions – Article 6 – Licéité du traitement – Article 86 – Accès du public aux documents officiels – Données relatives au représentant d’une personne morale – Jurisprudence d’une juridiction nationale imposant l’obligation d’informer et de consulter la personne concernée avant la communication de documents officiels comportant de telles
données »
Dans l’affaire C‑710/23,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Nejvyšší správní soud (Cour administrative suprême, République tchèque), par décision du 1er novembre 2023, parvenue à la Cour le 22 novembre 2023,
L. H.
contre
Ministerstvo zdravotnictví,
LA COUR (première chambre),
composée de M. F. Biltgen, président de chambre, M. T. von Danwitz (rapporteur), vice‑président de la Cour, M. A. Kumin, Mme I. Ziemele et M. S. Gervasoni, juges,
avocat général : M. J. Richard de la Tour,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour le gouvernement tchèque, par Mme L. Březinová, MM. M. Smolek et J. Vláčil, en qualité d’agents,
– pour la Commission européenne, par MM. A. Bouchagiar et P. Ondrůšek, en qualité d’agents,
vu la décision prise, l’avocat général entendu, de juger l’affaire sans conclusions,
rend le présent
Arrêt
1 La demande de décision préjudicielle porte sur l’interprétation de l’article 4, point 1, ainsi que de l’article 6, paragraphe 1, sous c) et e), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le
« RGPD »).
2 Cette demande a été présentée dans le cadre d’un litige opposant L. H. au Ministerstvo zdravotnictví (ministère de la Santé, République tchèque) au sujet d’une décision de ce dernier de ne pas communiquer à L. H. certaines informations concernant des représentants de personnes morales, mentionnés dans des contrats d’achat de tests de dépistage du Covid-19, ainsi que dans des certificats relatifs à ces tests.
Le cadre juridique
Le droit de l’Union
3 Les considérants 1, 4, 10, 14 et 154 du RGPD énoncent :
« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”)] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.
[...]
(4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités,
en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.
[...]
(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à
l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du
présent règlement. [...] À cet égard, le présent règlement n’exclut pas que le droit des États membres précise les circonstances des situations particulières de traitement y compris en fixant de manière plus précise les conditions dans lesquelles le traitement de données à caractère personnel est licite.
[...]
(14) La protection conférée par le présent règlement devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement de leurs données à caractère personnel. Le présent règlement ne couvre pas le traitement des données à caractère personnel qui concernent les personnes morales, et en particulier des entreprises dotées de la personnalité juridique, y compris le nom, la forme juridique et les coordonnées de la personne
morale.
[...]
(154) Le présent règlement permet de prendre en compte, dans son application, le principe de l’accès du public aux documents officiels. L’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt public. Les données à caractère personnel figurant dans des documents détenus par une autorité publique ou un organisme public devraient pouvoir être rendues publiques par ladite autorité ou ledit organisme si cette communication est prévue par le droit de l’Union ou le droit
de l’État membre dont relève l’autorité publique ou l’organisme public. Ces dispositions légales devraient concilier l’accès du public aux documents officiels et la réutilisation des informations du secteur public, d’une part, et le droit à la protection des données à caractère personnel, d’autre part, et peuvent dès lors prévoir la conciliation nécessaire avec le droit à la protection des données à caractère personnel en vertu du présent règlement. Dans ce contexte, il convient d’entendre
par “autorités publiques et organismes publics”, toutes les autorités ou autres organismes relevant du droit d’un État membre en matière d’accès du public aux documents. [...] »
4 L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :
« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »
5 Aux termes de l’article 4 du RGPD, intitulé « Définitions » :
« Aux fins du présent règlement, on entend par :
1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”). Est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité
physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction.
[...] »
6 L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose :
« 1. Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
[...] »
7 L’article 6 du RGPD, intitulé « Licéité du traitement », prévoit :
« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
[...]
2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.
3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
a) le droit de l’Union ; ou
b) le droit de l’État membre auquel le responsable du traitement est soumis.
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le
responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de
traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.
[...] »
8 L’article 86 du RGPD, intitulé « Traitement et accès du public aux documents officiels », relève du chapitre IX de ce règlement, qui comporte les dispositions relatives à des situations particulières de traitement. Cet article dispose :
« Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données
à caractère personnel au titre du présent règlement. »
Le droit tchèque
9 Le zákon č. 106/1999 Sb., o svobodném přístupu k informacím (loi no 106/1999 sur le libre accès aux informations) prévoit l’obligation, pour les autorités publiques, de communiquer des informations à la personne physique ou morale qui en fait la demande.
10 En vertu de l’article 8a, paragraphe 1, de cette loi, le débiteur de l’information ne communique des informations afférentes à la personnalité, aux éléments de la sphère personnelle, à la vie privée d’une personne physique et des données à caractère personnel que conformément à la réglementation qui en régit la protection.
Le litige au principal et les questions préjudicielles
11 L. H. a introduit auprès du ministère de la Santé une demande d’informations portant sur l’identification de personnes ayant signé des contrats d’achat de tests de dépistage du Covid-19 conclus par ce ministère, ainsi que des certificats relatifs à ces tests et démontrant la possibilité d’utiliser ceux-ci sur le territoire de l’Union.
12 Ledit ministère a partiellement fait droit à la demande de L. H. et lui a communiqué les certificats relatifs auxdits tests, en occultant les informations afférentes aux personnes physiques ayant signé ces certificats au nom des personnes morales concernées, y compris le prénom, le nom, la signature et la fonction occupée par ces personnes physiques ainsi que, dans certains cas, l’adresse électronique, le numéro de téléphone et le site Internet de ces personnes morales. L’occultation de ces
informations avait pour justification la protection des données à caractère personnel des personnes physiques visées dans ces certificats, conformément aux prescriptions du RGPD.
13 L. H. a introduit un recours tendant à l’annulation de la décision de communication du ministère de la Santé devant le Městský soud v Praze (cour municipale de Prague, République tchèque) en tant qu’elle a occulté lesdites informations. Cette juridiction a accueilli ce recours en considérant que le ministère ne pouvait pas refuser par principe de communiquer des informations constituant des données à caractère personnel sans préalablement avoir informé ni recueilli l’avis des personnes concernées
au sujet de la demande de communication de ces données, ainsi que le prévoit la jurisprudence nationale pertinente. En effet, selon ladite juridiction, en agissant de la sorte, le ministère de la Santé, d’une part, a omis de reconnaître la qualité de « parties à la procédure », au sens du droit interne, aux personnes concernées et, d’autre part, ne s’est pas assuré à suffisance de droit qu’aucune des conditions de licéité visées à l’article 6, paragraphe 1, du RGPD n’était satisfaite.
14 Le ministère de la Santé a introduit un pourvoi en cassation contre la décision du Městský soud v Praze (cour municipale de Prague) devant le Nejvyšší správní soud (Cour administrative suprême, République tchèque), qui est la juridiction de renvoi. Selon ce ministère, le fait de ne pas avoir informé les personnes physiques concernées de la demande de communication des données en cause ne saurait constituer un vice de procédure. Ledit ministère fait valoir que ces personnes exercent leurs
activités depuis la Chine et le Royaume-Uni, où sont immatriculées les personnes morales émettrices des certificats, et que le domicile desdites personnes lui est inconnu. Il lui serait donc impossible de les informer et de les consulter à ce sujet.
15 Dans ce contexte, la juridiction de renvoi s’interroge, en premier lieu, sur le point de savoir si les données en cause au principal constituent des « données à caractère personnel », au sens de l’article 4, point 1, du RGPD. À la lumière du considérant 14 de ce règlement, elle tendrait à considérer que de telles informations constituent des données relatives à une personne morale, ne relevant pas du champ d’application dudit règlement. Cette juridiction observe toutefois que la jurisprudence de
la Cour privilégie une interprétation large de la notion de « données à caractère personnel », dont il ressortirait que les informations afférentes à des personnes physiques identifiables, provenant, en particulier, d’un registre du commerce, relèvent de cette notion.
16 En second lieu, dans l’hypothèse où la Cour considérerait que les données en cause au principal constituent des données à caractère personnel, la juridiction de renvoi s’interroge sur la compatibilité, avec le droit de l’Union, de la jurisprudence nationale pertinente, qui impose au responsable du traitement, saisi d’une demande de communication de ces données, d’informer la personne concernée et de consulter celle-ci avant de communiquer lesdites données au demandeur. La juridiction de renvoi
précise encore que cette obligation s’impose également dans des situations où le RGPD lui-même ne requiert pas le consentement de la personne concernée, à savoir dans des situations autres que celle visée à l’article 6, paragraphe 1, sous a), du RGPD. Ladite obligation irait donc au-delà des exigences du RGPD et rendrait ainsi l’accès aux données en cause potentiellement plus difficile que dans d’autres États membres. Par ailleurs, compte tenu du champ d’application du RGPD, il serait difficile,
voire impossible, d’appliquer systématiquement l’obligation d’information et de consultation préalable, notamment s’agissant de fichiers relatifs à de grands nombres de personnes établies au sein de différents pays.
17 C’est dans ces conditions que le Nejvyšší správní soud (Cour administrative suprême) a décidé de surseoir à statuer et de soumettre à la Cour les questions préjudicielles suivantes :
« 1) La communication du prénom, du nom, de la signature et des coordonnées de la personne physique qui est le gérant ou le représentant responsable d’une personne morale, effectuée dans le seul but d’identifier (la personne habilitée à agir au nom de) la personne morale, constitue-t-elle un traitement de “données à caractère personnel” de la personne physique au sens de l’article 4, point 1, du RGPD, relevant par conséquent du champ d’application de ce règlement ?
2) Le droit national, y compris la jurisprudence constante, peut-il subordonner l’application, par une autorité administrative, d’un règlement de l’Union directement applicable, en l’occurrence de l’article 6, paragraphe 1, sous c), voire sous e), du RGPD, au respect d’autres conditions qui ne découlent pas du libellé même du RGPD, mais qui, en réalité, élargissent le champ de protection des personnes concernées, et concrètement à l’obligation pour l’autorité publique d’informer au préalable la
personne concernée de la demande de communication, à un tiers, de ses données à caractère personnel ? »
Sur les questions préjudicielles
Sur la première question
18 Par sa première question, la juridiction de renvoi demande, en substance, si l’article 4, points 1 et 2, du RGPD doit être interprété en ce sens que la communication du prénom, du nom, de la signature et des coordonnées d’une personne physique représentant une personne morale constitue un traitement de données à caractère personnel, même si cette communication est effectuée dans le seul but de permettre l’identification de la personne physique habilitée à agir au nom de cette personne morale.
19 À titre liminaire, il importe de noter que, selon les indications de la juridiction de renvoi, les personnes morales ayant émis les certificats en cause dans le litige au principal sont établies dans des pays tiers, à savoir en Chine et au Royaume-Uni. Si de telles personnes morales peuvent, sous certaines conditions, être soumises aux règles de publicité prévues par la directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés
(JO 2017, L 169, p. 46), notamment quant à la publicité obligatoire de l’identité des personnes qui ont le pouvoir d’engager ces personnes morales à l’égard des tiers, rien, dans le dossier dont dispose la Cour, n’indique que cette directive serait pertinente en l’occurrence.
20 Cette remarque liminaire étant faite, il convient de rappeler que, aux termes de l’article 4, point 1, du RGPD, constitue une « donnée à caractère personnel »« toute information se rapportant à une personne physique identifiée ou identifiable ». Est réputée être une « personne physique identifiable », au sens de cette disposition, « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des
données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
21 Selon une jurisprudence constante, l’emploi de l’expression « toute information » dans la définition de la notion de « données à caractère personnel », figurant à cette disposition, reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause. Une information concerne une personne
physique identifiée ou identifiable lorsque, en raison de son contenu, de sa finalité ou de son effet, elle est liée à une personne identifiable (arrêts du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, points 36 et 37, ainsi que du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, points 130 et 131 ainsi que jurisprudence citée).
22 Ainsi, les informations relatives à l’identité des personnes physiques identifiées ou identifiables qui, en tant qu’organe légalement prévu ou membres d’un tel organe, ont le pouvoir d’engager une société à l’égard des tiers constituent des « données à caractère personnel », au sens de l’article 4, point 1, du RGPD. Le fait que ces informations s’inscrivent dans le contexte d’une activité professionnelle n’est pas de nature à leur ôter la qualification de données à caractère personnel (voir, par
analogie, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, points 32 et 34 ainsi que jurisprudence citée).
23 Ainsi que la Commission l’a observé, une telle interprétation ne saurait être infirmée par le considérant 14 du RGPD. En effet, la seconde phrase de ce considérant renvoie notamment au « nom » et aux « coordonnées » de la personne morale, et non des personnes physiques agissant au nom ou pour le compte d’une personne morale.
24 En l’occurrence, il convient de constater que le prénom et le nom d’une personne physique identifiée ou identifiable constituent des données à caractère personnel, au sens de l’article 4, point 1, du RGPD. Il en va de même de la signature d’une telle personne physique (voir, en ce sens, arrêt du 4 octobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, point 136).
25 S’agissant des autres coordonnées en cause au principal, il incombe à la juridiction de renvoi de vérifier, eu égard à la jurisprudence rappelée au point 21 du présent arrêt, si ces coordonnées sont liées à une personne physique identifiée ou identifiable.
26 Quant à la notion de « traitement », au sens de l’article 4, point 2, du RGPD, cette disposition la définit comme étant « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou [à] des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par
transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
27 Ainsi, il ressort de l’expression « toute opération » que le législateur a entendu donner à cette notion une portée large, ce qui est corroboré par le caractère non exhaustif, exprimé par la locution « telles que », des opérations énumérées à ladite disposition, qui incluent la communication par transmission, la diffusion et toute autre forme de mise à disposition, ces opérations pouvant être automatisées ou non automatisées (voir, en ce sens, arrêt du 7 mars 2024, Endemol Shine Finland,
C‑740/22, EU:C:2024:216, points 29 et 30 ainsi que jurisprudence citée).
28 En tout état de cause, il ne ressort aucunement du libellé de l’article 4, point 2, du RGPD que le législateur de l’Union aurait entendu réserver la qualification de « traitement » à ces opérations en fonction de leur finalité.
29 Une telle interprétation est conforme à l’objectif poursuivi par le RGPD, tel qu’il ressort de l’article 1er ainsi que des considérants 1 et 10 de celui-ci, visant, notamment, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la Charte et à l’article 16, paragraphe 1, TFUE (voir, en ce sens, arrêt
du 9 janvier 2025, Mousse, C‑394/23, EU:C:2025:2, point 21 et jurisprudence citée).
30 En l’occurrence, la communication de données telles que le prénom, le nom, la signature et les coordonnées d’une personne physique représentant une personne morale relève de la notion de « traitement », au sens de l’article 4, point 2, du RGPD. Ainsi qu’il ressort des points 27 à 29 du présent arrêt, la circonstance que la communication de telles données a pour seule finalité de permettre l’identification d’une personne physique habilitée à agir au nom d’une personne morale est dénuée de
pertinence aux fins de la qualification de « traitement », au sens de cette disposition.
31 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la première question que l’article 4, points 1 et 2, du RGPD doit être interprété en ce sens que la communication du prénom, du nom, de la signature et des coordonnées d’une personne physique représentant une personne morale constitue un traitement de données à caractère personnel. La circonstance que cette communication est effectuée dans le seul but de permettre l’identification de la personne physique habilitée à agir au nom
de cette personne morale est dénuée de pertinence à cet égard.
Sur la seconde question
32 Par sa seconde question, la juridiction de renvoi demande, en substance, si l’article 6, paragraphe 1, sous c) et e), du RGPD doit être interprété en ce sens qu’il s’oppose à une jurisprudence nationale qui impose à un responsable du traitement, qui est une autorité publique chargée de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel, d’informer et de consulter la personne physique concernée avant la communication de
documents officiels comportant de telles données.
33 Conformément à l’objectif poursuivi par le RGPD, tel que rappelé au point 29 du présent arrêt, tout traitement de données à caractère personnel doit, notamment, être conforme aux principes relatifs au traitement de telles données énoncés à l’article 5 de ce règlement et satisfaire aux conditions de licéité énumérées à l’article 6 dudit règlement (arrêt du 9 janvier 2025, Mousse, C‑394/23, EU:C:2025:2, point 22 et jurisprudence citée).
34 À cet égard, l’article 5, paragraphe 1, sous a), du RGPD dispose que les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.
35 L’article 6, paragraphe 1, sous c), du RGPD prévoit que le traitement peut être licite si, et dans la mesure où, il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Aux termes de l’article 6, paragraphe 1, sous e), de ce règlement, un tel traitement peut également être licite si, et dans la mesure où, il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable
du traitement.
36 Selon l’article 6, paragraphe 2, du RGPD, les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles de ce règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, sous c) et e), de cet article, en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de
traitement, visées au chapitre IX du RGPD.
37 L’article 6, paragraphe 3, du RGPD prévoit que le fondement du traitement visé au paragraphe 1, sous c) et e), de cet article 6 est défini, selon le cas, par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis. La base juridique pertinente doit répondre à un objectif d’intérêt public et être proportionnée à l’objectif légitime poursuivi. Cette base juridique peut aussi contenir des dispositions spécifiques pour adapter l’application des règles du RGPD,
telles que, notamment, des conditions générales régissant la licéité du traitement par le responsable du traitement ou des opérations et procédures de traitement, y compris des mesures visant à garantir un traitement licite et loyal, à l’instar de celles prévues dans d’autres situations particulières de traitement, visées au chapitre IX du RGPD.
38 Il convient encore de relever que, en matière d’accès du public aux documents officiels, l’article 86 du RGPD, qui fait partie du chapitre IX de celui-ci, prévoit que les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par cette autorité ou par cet organisme, conformément au droit de l’Union ou au droit de l’État membre
pertinent, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel.
39 Cet article doit être lu à la lumière, premièrement, du considérant 4 du RGPD, qui énonce notamment que le droit à la protection des données à caractère personnel n’est pas un droit absolu, deuxièmement, du considérant 154 de ce règlement, dont il ressort, entre autres, que l’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt public, ainsi que, troisièmement, de la jurisprudence selon laquelle le principe de transparence, tel qu’il découle des articles 1er
et 10 TUE ainsi que de l’article 15 TFUE, permet d’assurer une meilleure participation des citoyens au processus décisionnel ainsi que de garantir une plus grande légitimité, efficacité et responsabilité de l’administration à l’égard des citoyens dans un système démocratique (arrêt du 22 novembre 2022, Luxembourg Business Registers, C‑37/20 et C‑601/20, EU:C:2022:912, point 60 ainsi que jurisprudence citée).
40 Si, ainsi qu’il ressort du considérant 10 du RGPD, les États membres sont habilités à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles de ce règlement, ces États doivent toutefois utiliser leur marge d’appréciation dans les conditions et les limites prévues par ledit règlement et doivent ainsi légiférer de manière à ne pas porter atteinte au contenu et aux objectifs de celui-ci (voir, en ce sens, arrêt du 30 mars 2023, Hauptpersonalrat
der Lehrerinnen und Lehrer, C‑34/21, EU:C:2023:270, point 59 et jurisprudence citée).
41 En outre, conformément au principe de proportionnalité, les États membres doivent s’assurer que les conséquences pratiques, notamment d’ordre organisationnel, engendrées par les exigences supplémentaires qu’ils ont fixées, ne sont pas excessives (voir, en ce sens, arrêt du 21 décembre 2023, Krankenversicherung Nordrhein, C‑667/21, EU:C:2023:1022, point 67).
42 En l’occurrence, le traitement en cause au principal est susceptible de relever tant du point c) que du point e) de l’article 6, paragraphe 1, du RGPD, dès lors qu’il est imposé au responsable du traitement par la loi no 106/1999, dans l’exercice d’une mission d’intérêt public consistant à garantir l’accès du public aux documents officiels. À cet égard, il est constant que cette loi oblige les autorités publiques à communiquer des informations, y compris des documents officiels, aux personnes qui
en font la demande.
43 Cela étant, lorsque les informations demandées comportent des données à caractère personnel, ladite loi prévoit que ces données ne peuvent être communiquées que dans le respect de la réglementation relative à leur protection, laquelle, ainsi que le fait observer la juridiction de renvoi, inclut le RGPD. Il ressort de la décision de renvoi que la jurisprudence de la juridiction de renvoi énonce des obligations complémentaires, qui s’ajoutent à celles expressément prévues par ce règlement. Elle
impose, en effet, aux autorités publiques d’informer et de consulter la personne concernée avant de procéder à toute communication desdites données.
44 S’agissant de la compatibilité d’une jurisprudence nationale, telle que celle en cause au principal, avec le RGPD, il convient de constater que, en vertu des dispositions visées aux points 36 et 37 du présent arrêt, les États membres peuvent introduire des dispositions spécifiques afin de garantir un traitement licite et loyal dans des situations particulières de traitement, telles que celle visée à l’article 86 du RGPD. À cet égard, une telle jurisprudence est susceptible de faire partie de la
base juridique du traitement, au sens de l’article 6, paragraphe 3, du RGPD.
45 Par conséquent, l’article 6, paragraphe 1, sous c) et e), du RGPD ne s’oppose pas, en principe, à une jurisprudence nationale qui prévoit une obligation d’information et de consultation de la personne concernée avant toute communication de données personnelles la concernant. En effet, une telle obligation est de nature à garantir un traitement licite, loyal et transparent à l’égard de cette personne, au sens de l’article 5, paragraphe 1, sous a), du RGPD, en permettant à celle-ci d’exprimer son
avis quant à la communication envisagée. Cette obligation contribue ainsi à la réalisation de l’objectif rappelé au point 29 du présent arrêt, tout en permettant à l’autorité publique de procéder, en pleine connaissance de cause, à la conciliation requise par l’article 86 du RGPD.
46 Néanmoins, eu égard à la jurisprudence rappelée aux points 40 et 41 du présent arrêt, une mise en œuvre absolue de ladite obligation pourrait donner lieu à une restriction disproportionnée du droit d’accès du public aux documents officiels. En effet, il est concevable que, pour différentes raisons, l’information et/ou la consultation de la personne concernée se révèlent impossibles ou exigent des efforts disproportionnés. Dans un tel contexte, l’invocation d’une impossibilité pratique d’informer
et de consulter cette personne afin de justifier le refus systématique de toute communication d’informations relatives à ladite personne conduirait à l’exclusion de toute tentative de conciliation des intérêts en présence, alors qu’une telle conciliation est expressément prévue à l’article 86 du RGPD.
47 En l’occurrence, sous réserve de vérification par la juridiction de renvoi, le ministère de la Santé semble avoir fondé sa décision de ne pas communiquer l’ensemble des informations sollicitées sur cette seule impossibilité pratique, sans avoir aucunement tenté de procéder à une conciliation des intérêts.
48 Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la seconde question que l’article 6, paragraphe 1, sous c) et e), du RGPD, lu en combinaison avec l’article 86 de ce règlement, doit être interprété en ce sens qu’il ne s’oppose pas à une jurisprudence nationale qui impose à un responsable du traitement, qui est une autorité publique chargée de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel,
d’informer et de consulter la personne physique concernée avant la communication de documents officiels comportant de telles données, pour autant qu’une telle obligation n’est pas impossible à mettre en œuvre ni n’exige des efforts disproportionnés et, partant, n’entraîne pas de restriction disproportionnée du droit d’accès du public à ces documents.
Sur les dépens
49 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
1) L’article 4, points 1 et 2, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la communication du prénom, du nom, de la signature et des coordonnées d’une personne physique représentant une personne morale constitue un traitement de données à caractère personnel. La circonstance que cette communication est effectuée dans le seul but de permettre l’identification de la personne physique habilitée à agir au nom de cette personne morale est dénuée de pertinence à cet égard.
2) L’article 6, paragraphe 1, sous c) et e), du règlement 2016/679, lu en combinaison avec l’article 86 de ce règlement,
doit être interprété en ce sens que :
il ne s’oppose pas à une jurisprudence nationale qui impose à un responsable du traitement, qui est une autorité publique chargée de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel, d’informer et de consulter la personne physique concernée avant la communication de documents officiels comportant de telles données, pour autant qu’une telle obligation n’est pas impossible à mettre en œuvre ni n’exige des efforts
disproportionnés et, partant, n’entraîne pas de restriction disproportionnée du droit d’accès du public à ces documents.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le tchèque.
