ARRÊT DE LA COUR (première chambre)
30 avril 2025 ( *1 )
« Renvoi préjudiciel – État de droit – Indépendance des juges – Article 19, paragraphe 1, second alinéa, TUE – Protection juridictionnelle effective dans les domaines couverts par le droit de l’Union – Organe judiciaire compétent pour proposer l’ouverture de procédures disciplinaires contre les magistrats en vue de l’infliction de sanctions disciplinaires – Maintien des fonctions des membres de l’organe judiciaire après la fin de leur mandat – Protection des personnes physiques à l’égard du
traitement des données à caractère personnel – Règlement (UE) 2016/679 – Sécurité des données – Accès d’un organe judiciaire aux données relatives aux comptes bancaires des magistrats et des membres de leur famille – Autorisation juridictionnelle aux fins de la levée du secret bancaire – Juridiction autorisant la levée du secret bancaire – Article 4, point 7 – Notion de “responsable du traitement” – Article 51 – Notion d’“autorité de contrôle” »
Dans les affaires jointes C‑313/23, C‑316/23 et C‑332/23,
ayant pour objet trois demandes de décision préjudicielle au titre de l’article 267 TFUE, introduites par le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie), par décisions du 22 mai 2023 (C‑313/23 et C‑332/23) et du 23 mai 2023 (C‑316/23), parvenues à la Cour le 22 mai 2023 (C‑313/23), le 23 mai 2023 (C‑316/23) et le 25 mai 2023 (C‑332/23), dans les procédures engagées par
Inspektorat kam Visshia sadeben savet,
LA COUR (première chambre),
composée de M. K. Lenaerts, président de la Cour, faisant fonction de président de la première chambre, M. T. von Danwitz (rapporteur), vice‑président de la Cour, M. A. Kumin, Mmes I. Ziemele et O. Spineanu‑Matei, juges,
avocat général : M. P. Pikamäe,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– pour l’Inspektorat kam Visshia sadeben savet, par Mme T. Tochkova, en qualité d’agent,
– pour le gouvernement bulgare, par Mmes T. Mitova, S. Ruseva et M. R. Stoyanov, en qualité d’agents,
– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,
– pour la Commission européenne, par M. A. Bouchagiar, Mme C. Georgieva, MM. H. Kranenborg et P. Van Nuffel, en qualité d’agents,
ayant entendu l’avocat général en ses conclusions à l’audience du 4 octobre 2024,
rend le présent
Arrêt
1 Les demandes de décision préjudicielle portent sur l’interprétation de l’article 19, paragraphe 1, second alinéa, TUE ainsi que de l’article 2, paragraphe 2, sous a), de l’article 4, point 7, de l’article 32, paragraphe 1, sous b), de l’article 33, paragraphe 3, sous d), de l’article 51, de l’article 57, paragraphe 1, sous b), et de l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard
du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), lus en combinaison avec l’article 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).
2 Ces demandes ont été présentées dans le cadre de procédures introduites par l’Inspektorat kam Visshia sadeben savet (Inspection près le Conseil supérieur de la magistrature, Bulgarie) (ci-après l’« Inspection ») en vue d’ordonner la divulgation à l’Inspection des données relatives aux comptes bancaires de plusieurs magistrats et des membres de leur famille.
Le cadre juridique
Le droit de l’Union
3 Les considérants 16 et 20 du RGPD énoncent :
« (16) Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. [...]
[...]
(20) Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions
dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir
judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données. »
4 L’article 2 de ce règlement, intitulé « Champ d’application matériel », dispose, à ses paragraphes 1 et 2 :
« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;
[...] »
5 L’article 4 dudit règlement, intitulé « Définitions », prévoit :
« Aux fins du présent règlement, on entend par :
[...]
2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la
limitation, l’effacement ou la destruction ;
[...]
7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit
d’un État membre ;
[...] »
6 L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce, à son paragraphe 1 :
« Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples [...]. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie
électronique. [...] »
7 L’article 14 de ce règlement, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à ses paragraphes 1 et 2 :
« 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :
a) l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) les catégories de données à caractère personnel concernées ;
e) le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;
f) le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale [...] ;
2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée :
a) la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
b) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
c) l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;
d) lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
e) le droit d’introduire une réclamation auprès d’une autorité de contrôle ;
f) la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;
g) l’existence d’une prise de décision automatisée [...] »
8 L’article 21 du RGPD, intitulé « Droit d’opposition », prévoit, à son paragraphe 1 :
« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et
libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. »
9 L’article 32 de ce règlement, intitulé « Sécurité du traitement », énonce, à son paragraphe 1 :
« Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
[...]
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
[...] »
10 L’article 33 dudit règlement, intitulé « Notification à l’autorité de contrôle d’une violation de données à caractère personnel », dispose, à ses paragraphes 1 et 3 :
« 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les
72 heures, elle est accompagnée des motifs du retard.
[...]
3. La notification visée au paragraphe 1 doit, à tout le moins :
[...]
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives. »
11 Le chapitre VI du RGPD, intitulé « Autorités de contrôle indépendantes », comprend les articles 51 à 59 de celui-ci.
12 L’article 51 de ce règlement, intitulé « Autorité de contrôle », est ainsi libellé :
« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”).
[...]
3. Lorsqu’un État membre institue plusieurs autorités de contrôle, il désigne celle qui représente ces autorités au [comité européen de la protection des données] et définit le mécanisme permettant de s’assurer du respect, par les autres autorités, des règles relatives au mécanisme de contrôle de la cohérence visé à l’article 63.
4. Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du présent chapitre, au plus tard, le 25 mai 2018 et, sans tarder, toute modification ultérieure les affectant. »
13 L’article 55 dudit règlement, intitulé « Compétence », dispose :
« 1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.
2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable.
3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. »
14 L’article 57 du RGPD, intitulé « Missions », énonce, à son paragraphe 1 :
« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :
a) contrôle l’application du présent règlement et veille au respect de celui-ci ;
[...]
h) effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique ;
[...] »
15 L’article 58 de ce règlement, intitulé « Pouvoirs », énumère, à son paragraphe 1, les pouvoirs d’enquête dont chaque autorité de contrôle dispose et, à son paragraphe 2, les mesures correctrices que celle-ci peut adopter.
16 Le chapitre VIII du RGPD, intitulé « Voies de recours, responsabilité et sanctions », comprend les articles 77 à 84 de celui‑ci.
17 L’article 77 de ce règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
18 L’article 78 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », énonce, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »
19 L’article 79 du même règlement, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », dispose, à son paragraphe 1 :
« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »
Le droit bulgare
La Constitution bulgare
20 L’article 117, paragraphe 2, de la Konstitutsia na Republika Bulgaria (Constitution de la République de Bulgarie), dans sa version applicable aux faits au principal (ci‑après la « Constitution bulgare »), dispose :
« Le pouvoir judiciaire est indépendant. Dans l’exercice de leurs fonctions, les juges, les jurés, les procureurs et les magistrats instructeurs ne sont soumis qu’à la loi. »
21 L’article 132a de la Constitution bulgare, dans sa version applicable à la date d’introduction des présentes demandes de décision préjudicielle, prévoit :
« (1) Est instituée près le Conseil supérieur de la magistrature une inspection, laquelle se compose d’un inspecteur général et de dix inspecteurs.
(2) L’inspecteur général est élu par l’Assemblée nationale à la majorité des deux tiers des députés, pour un mandat de cinq ans.
(3) Les inspecteurs sont élus par l’Assemblée nationale pour un mandat de quatre ans, conformément aux modalités visées au paragraphe 2.
(4) L’inspecteur général et les inspecteurs peuvent être réélus, mais pas pour deux mandats consécutifs.
[...]
(6) L’Inspection contrôle les activités du pouvoir judiciaire, sans préjudice de l’indépendance des juges, des jurés, des procureurs et des magistrats instructeurs dans l’exercice de leurs fonctions. L’[Inspection] effectue des contrôles sur l’intégrité et les conflits d’intérêts des juges, procureurs et magistrats instructeurs, sur leurs déclarations de patrimoine, ainsi que pour la détection d’actes portant atteinte au prestige de la justice et d’actes liés à une violation de l’indépendance
des juges, procureurs et magistrats instructeurs. Dans l’exercice de leurs fonctions, l’inspecteur général et les inspecteurs sont indépendants et ne sont soumis qu’à la loi.
(7) L’Inspection agit d’office, à l’initiative de citoyens, de personnes morales ou d’autorités étatiques, y compris de juges, de procureurs et de magistrats instructeurs.
[...]
(10) Les conditions et les modalités d’élection et de révocation de l’inspecteur général et des inspecteurs ainsi que l’organisation et le fonctionnement de l’Inspection sont régis par la loi. »
Le ZSV
22 L’article 46 du Zakon za sadebnata vlast (loi sur le pouvoir judiciaire) (DV no 64, du 7 août 2007), dans sa version applicable aux faits au principal (ci‑après le « ZSV »), prévoit :
« L’Assemblée nationale élit l’inspecteur général et chacun des inspecteurs individuellement à la majorité des deux tiers des députés. »
23 L’article 54, paragraphes 1 et 2, de cette loi dispose :
« (1) L’Inspection :
[...]
2. contrôle l’organisation de l’ouverture et du déroulement des procédures judiciaires, des procédures de poursuites par le parquet et des enquêtes, ainsi que la clôture des affaires dans les délais impartis ;
[...]
6. propose des sanctions disciplinaires à l’encontre des juges, des procureurs, des magistrats instructeurs et des responsables administratifs du pouvoir judiciaire ;
7. émet des alertes, des suggestions et des rapports à l’intention d’autres autorités étatiques, y compris des autorités du système judiciaire ;
8. effectue des contrôles sur l’intégrité et les conflits d’intérêts des juges, procureurs et magistrats instructeurs, sur leurs déclarations financières, ainsi que pour la détection d’actes portant atteinte au prestige de la justice et d’actes liés à une violation de l’indépendance des juges, procureurs et magistrats instructeurs ;
[...]
15. contrôle le traitement des données à caractère personnel dans les cas visés à l’article 17, paragraphe 1, de la loi sur la protection des données à caractère personnel.
(2) Lorsqu’elle assure le contrôle visé au paragraphe 1, point 15, l’Inspection exécute les tâches et exerce les pouvoirs prévus par la loi sur la protection des données à caractère personnel. »
24 L’article 175a, paragraphe 1, de ladite loi énonce :
« Les juges, procureurs et magistrats instructeurs soumettent à l’[Inspection] les déclarations suivantes :
1. une déclaration en deux parties, concernant le patrimoine et les intérêts du déclarant ;
2. une déclaration de changement des circonstances déclarées dans la déclaration visée au point 1, dans la partie relative aux intérêts visés à l’article 175b, paragraphe 1, points 11 à 13, et concernant l’origine des fonds en cas de remboursement anticipé de dettes et d’emprunts. »
25 L’article 175b, paragraphe 4, du ZSV est libellé comme suit :
« Les juges, procureurs et magistrats instructeurs déclarent le patrimoine et les revenus de leurs conjoints ou concubins, ainsi que de leurs enfants mineurs. »
26 L’article 175d de cette loi prévoit :
« (1) L’[Inspection] tient et conserve des registres publics électroniques :
1. des déclarations au titre de l’article 175a, paragraphe 1, points 1 et 2 ;
2. des décisions de sanction administrative devenues définitives.
(2) L’[Inspection] introduit dans le registre public visé au paragraphe 1, point 1, les déclarations de patrimoine et d’intérêts ainsi que les déclarations de modification des circonstances déclarées. Cette introduction est effectuée exclusivement par des agents mandatés par l’inspecteur général.
[...]
(4) Toute personne a le droit d’accéder aux données contenues dans le registre public.
(5) L’accès est assuré à travers le site Internet de l’[Inspection], sous réserve des exigences relatives à la protection des données à caractère personnel. »
27 L’article 175e, paragraphes 1 et 6, de ladite loi dispose :
« (1) Dans les six mois suivant l’expiration du délai de présentation de la déclaration, l’[Inspection] procède à la vérification de la véracité des faits déclarés. [...]
[...]
(6) L’[Inspection] peut obtenir des informations auprès des systèmes d’information visés aux articles 56 et 56 bis de la loi sur les établissements de crédit. L’inspecteur général et les inspecteurs de l’[Inspection] peuvent demander la levée du secret bancaire au Rayonen sad [(tribunal d’arrondissement)] dans le ressort duquel la personne concernée a son domicile, sauf si le consentement a été donné conformément à l’article 62, paragraphe 5, point 1, de la loi sur les établissements de crédit.
Le consentement est donné devant l’[Inspection], par écrit, sans certification notariale de la signature, sur un formulaire approuvé par l’inspecteur général. »
28 L’article 307, paragraphe 2, du ZSV prévoit :
« La faute disciplinaire est un manquement fautif aux obligations professionnelles ainsi qu’une atteinte à la dignité du pouvoir judiciaire. »
29 L’article 311 de cette loi est libellé comme suit :
« La sanction disciplinaire est infligée :
1. par le responsable administratif, pour la sanction visée à l’article 308, paragraphe 1, point 1 ;
2. par la chambre concernée du Conseil supérieur de la magistrature (la chambre des juges, des procureurs ou des magistrats instructeurs), pour les sanctions visées à l’article 308, paragraphe 1, points 2, 3, 4 et 6 ;
[...]
4. par l’assemblée plénière du Conseil supérieur de la magistrature, pour les sanctions visées à l’article 308, paragraphe 2, qui sont infligées à un membre élu du Conseil supérieur de la magistrature. »
30 L’article 312, paragraphe 1, de ladite loi dispose :
« Une proposition d’ouverture d’une procédure disciplinaire en vue d’infliger une sanction disciplinaire à un juge, un procureur et un magistrat instructeur, un responsable administratif et un responsable administratif adjoint peut être faite par :
[...]
3. l’[Inspection] ;
[...] »
31 L’article 323, paragraphe 1, de la même loi prévoit :
« La décision de l’assemblée plénière ou de la chambre concernée du Conseil supérieur de la magistrature peut être contestée par la personne visée par la sanction disciplinaire et – lorsqu’aucune sanction disciplinaire n’a été infligée ou qu’elle est moins sévère que celle proposée – par l’auteur de la proposition, devant le Varhoven administrativen sad [(Cour administrative suprême, Bulgarie)] dans un délai de 14 jours à compter de la notification ou signification de cette décision. »
Le ZKI
32 L’article 62 du Zakon za kreditnite institutsii (loi sur les établissements de crédit) (DV no 59, du 21 juillet 2006), dans sa version applicable aux faits au principal (ci‑après le « ZKI »), prévoit :
« (1) Il est interdit aux employés de banque, aux membres des organes de gestion et de surveillance des banques, aux agents de la [Banque nationale de Bulgarie (BNB)], aux employés et aux membres du conseil d’administration du Fonds de garantie des dépôts, aux liquidateurs, aux administrateurs provisoires et aux syndics, ainsi qu’à toutes autres personnes travaillant pour une banque, de divulguer ou utiliser à leur profit personnel ou au profit des membres de leur famille des informations
constituant un secret bancaire.
(2) Le secret bancaire est constitué par les faits et circonstances affectant les soldes et les opérations des comptes et dépôts des clients de la banque.
[...]
(5) Sauf à la BNB et aux fins et dans les conditions de l’article 56, la banque ne peut fournir les informations visées au paragraphe 2 concernant des clients individuels que :
1. avec leur consentement ;
2. en vertu d’une décision d’une juridiction, prise conformément aux paragraphes 6 et 7 ;
3. sur ordonnance d’une juridiction, lorsque cela est nécessaire pour clarifier les circonstances d’une affaire dont elle est saisie ;
4. dans les situations visées au paragraphe 12, dans le cas d’une banque faisant l’objet d’une procédure d’insolvabilité ; ou
5. dans le cadre d’une procédure arbitrale internationale en cours, à laquelle la République de Bulgarie est partie.
(6) La juridiction peut également ordonner la divulgation des informations visées au paragraphe 2, à la demande :
[...]
12. de l’inspecteur général ou d’un inspecteur de l’[Inspection].
(7) Le juge du Rayonen sad [(tribunal d’arrondissement)] statue en chambre du conseil par décision motivée sur la demande visée au paragraphe 6, au plus tard dans les 24 heures suivant la réception de la demande, en précisant la période à laquelle se rapportent les renseignements visés au paragraphe 1. La décision du tribunal est insusceptible de recours.
[...] »
Le ZZLD
33 L’article 6, paragraphe 1, du Zakon za zashtita na lichnite danni (loi sur la protection des données à caractère personnel) (DV no 1, du 4 janvier 2002), dans sa version applicable aux faits au principal (ci‑après le « ZZLD »), est ainsi libellé :
« La Komisia za zashtita na lichnite danni [(Commission de protection des données à caractère personnel, Bulgarie) (ci‑après la “KZLD”)] est une autorité permanente et indépendante de contrôle qui assure la protection des personnes lors du traitement de leurs données à caractère personnel et lors de l’accès à ces données, ainsi que le contrôle du respect du [RGPD] et de la présente loi. »
34 L’article 17, paragraphes 1 et 2, de cette loi dispose :
« (1) L’[Inspection] surveille et contrôle le respect du [RGPD], de la présente loi et des actes en matière de protection des données à caractère personnel, lorsque des données à caractère personnel sont traitées par :
1. la juridiction dans l’exercice de ses fonctions d’autorité du pouvoir judiciaire, et
2. le parquet et les autorités d’enquête dans l’exercice de leurs fonctions d’autorités du pouvoir judiciaire aux fins de la prévention, de la détection, de l’instruction ou de la poursuite d’infractions pénales ou de l’exécution de sanctions pénales.
(2) Les modalités de mise en œuvre de l’activité visée au paragraphe 1, y compris la réalisation de contrôles et l’examen des procédures devant l’Inspection, sont fixées par le règlement visé à l’article 55, paragraphe 8, [du ZSV]. »
35 L’article 17a, paragraphe 1, du ZZLD prévoit :
« Lorsqu’elle contrôle le traitement de données à caractère personnel par une juridiction dans l’exercice de ses fonctions d’autorité judiciaire, sauf dans les cas de traitement de données à caractère personnel aux fins de l’article 42, paragraphe 1, l’Inspection :
1. accomplit les missions visées à l’article 57, paragraphe 1, sous a) à i), l), u) et v), et paragraphes 2 et 3, du [RGPD] ;
2. exerce les pouvoirs conférés par l’article 58, paragraphe 1, sous a), b), d), e), f), paragraphe 2, sous a) à g), i) et j), et paragraphe 3, sous a), b) et c), du [RGPD] ;
3. applique la liste établie par la [KZLD], conformément à l’article 35, paragraphe 4, du [RGPD], lu en combinaison avec l’exigence d’une analyse d’impact relative à la protection des données ;
4. saisit la juridiction en cas de violation du [RGPD]. »
36 L’article 39 du ZZLD énonce :
« (1) En cas de violation de ses droits au titre du [RGPD] et de la présente loi, la personne concernée peut contester les actes et actions du responsable du traitement et du sous-traitant devant une juridiction conformément à la procédure prévue par le code de procédure administrative.
[...]
(4) La personne concernée ne peut saisir la juridiction lorsqu’une procédure est pendante devant la [KZLD] pour la même infraction ou qu’une décision de la [KZLD] concernant la même infraction a fait l’objet d’un recours et il n’y a pas de décision judiciaire devenue définitive. À la demande de la personne concernée ou de la juridiction, la [KZLD] certifie l’absence de procédure pendante devant elle dans le même litige.
(5) Le paragraphe 4 s’applique également en cas de procédure pendante devant l’Inspection. »
Les litiges au principal et les questions préjudicielles
37 Le 15 mai 2023, après l’expiration du délai prévu pour le dépôt des déclarations annuelles de patrimoine des magistrats et de leur famille au titre de l’année 2022, visé aux articles 175a et 175b du ZSV, l’Inspection a saisi le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie), qui est la juridiction de renvoi, d’une demande de levée du secret bancaire portant sur les comptes bancaires de plusieurs magistrats et des membres de leur famille, en application de l’article 62,
paragraphe 6, point 12, du ZKI.
38 La juridiction de renvoi relève, en premier lieu, qu’elle doit vérifier si l’Inspection dispose de la compétence pour la saisir d’une telle demande. À cet égard, elle précise que cet organe, qui a été créé par un amendement à la Constitution bulgare adopté au cours de l’année 2007, est chargé d’enquêter sur l’exercice d’influences indues sur les magistrats, de vérifier les déclarations de patrimoine de ces derniers et de détecter d’éventuels conflits d’intérêts ainsi que des atteintes à
l’indépendance du pouvoir judiciaire.
39 La juridiction de renvoi indique que l’Inspection est composée d’un inspecteur général et de dix inspecteurs qui sont élus par l’Assemblée nationale pour un mandat d’une durée respectivement de cinq et de quatre ans. Or, les mandats de l’ensemble des membres de l’Inspection seraient parvenus à leur terme au cours de l’année 2020, sans que l’Assemblée nationale ait procédé à l’élection de nouveaux membres.
40 Certes, par un arrêt du 27 septembre 2022, le Konstitutsionen sad (Cour constitutionnelle, Bulgarie) aurait jugé que la Constitution bulgare doit être interprétée en ce sens que l’inspecteur général et les inspecteurs, dont le mandat a expiré, continuent à exercer leurs fonctions jusqu’à ce que l’Assemblée nationale élise de nouveaux membres de l’Inspection, en considérant que la préservation de la mission dévolue à l’Inspection est plus importante que les risques d’abus de ses membres dont le
mandat a expiré. La juridiction de renvoi relève toutefois que cet arrêt n’a pas abordé la question de savoir si les membres de l’Inspection qui continuent à exercer leurs fonctions après l’expiration de leur mandat pourraient exercer une influence indue sur le pouvoir judiciaire ou pourraient eux‑mêmes être soumis à des pressions de la part de députés.
41 Ladite juridiction s’interroge donc sur le point de savoir si le droit de l’Union pose des conditions plus strictes que la Constitution bulgare, telle qu’interprétée par le Konstitutsionen sad (Cour constitutionnelle). En particulier, compte tenu de la jurisprudence de la Cour dégagée dans l’arrêt du 11 mai 2023, Inspecția Judiciară (C‑817/21, EU:C:2023:391, points 50 et 51), elle se demande si une prorogation des mandats des membres de l’Inspection est susceptible de porter atteinte aux
garanties d’indépendance de cette autorité en tant qu’autorité habilitée à initier des poursuites disciplinaires à l’égard des magistrats et, dans l’affirmative, quels sont les critères permettant d’apprécier si une telle prorogation est admissible et pour quelle durée.
42 En second lieu, la juridiction s’interroge sur le rôle et sur les obligations des juridictions nationales lorsque celles‑ci doivent autoriser l’accès de l’Inspection aux données à caractère personnel des magistrats.
43 À cet égard, la juridiction de renvoi fait observer que, au cours de l’année 2019, un problème grave portant sur la sécurité des données détenues par l’Inspection a attiré l’attention des médias bulgares. En effet, la KZLD aurait constaté que les données à caractère personnel d’une vingtaine de juges et de procureurs, détenues par l’Inspection, avaient été publiées illégalement dans leur intégralité sur le site Internet de l’Inspection, ce qui aurait conduit la KZLD à infliger une amende à
l’Inspection. Or, la juridiction de renvoi relève qu’elle ne dispose d’aucune information lui permettant de savoir si, depuis cet incident, des mesures ont été prises pour assurer la sécurité des données.
44 Elle se demande si son activité consistant à autoriser l’Inspection à accéder à des données à caractère personnel soumises au secret bancaire relève du champ d’application du RGPD et, dans l’affirmative, quelles en seraient les incidences sur le contrôle qu’elle doit exercer. Elle souligne, à cet égard, que le RGPD impose des obligations aux personnes qui effectuent un traitement de données à caractère personnel, aux responsables du traitement et aux autorités de contrôle.
45 En revanche, les obligations d’une juridiction accordant l’autorisation à une autorité d’accéder à de telles données ne seraient pas directement régies par le RGPD. Il conviendrait donc de déterminer si une telle juridiction doit être considérée comme ayant la qualité de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, ou d’« autorité de contrôle », au sens de l’article 51 de ce règlement, dans la mesure où elle accorderait à l’Inspection une autorisation sans laquelle
l’accès aux données concernées ne pourrait avoir lieu. L’Inspection collecterait et vérifierait, aux fins visées aux articles 175a et 175d du ZSV, des données relatives au patrimoine des magistrats, alors que les juridictions contrôleraient cette activité en accordant ou en refusant l’accès aux données en cause.
46 À cet égard, la juridiction de renvoi observe que son contrôle devrait, selon l’interprétation du droit national qui prévaut en Bulgarie, être purement formel et se limiter à vérifier si les personnes à propos desquelles la levée du secret bancaire est demandée ont la qualité de personnes soumises à l’obligation de déclaration au sens du ZSV, c’est-à-dire si elles sont des magistrats ou des personnes ayant une relation familiale ou une autre relation prévue par ce droit avec ces derniers. En
principe, lorsque ces conditions sont satisfaites, les juridictions devraient toujours autoriser la levée du secret bancaire. En revanche, tel ne serait pas le cas si les juridictions exerçant le contrôle préalable pouvaient être considérées comme étant responsables du traitement de données à caractère personnel auxquelles elles accordent l’accès, de sorte qu’elles devraient assurer la sécurité des données en vertu des articles 32 à 34 du RGPD.
47 Or, bien que ces juridictions n’aient pas un accès direct aux données à caractère personnel couvertes par le secret bancaire, elles détermineraient dans une certaine mesure les finalités du traitement en autorisant ou en interdisant l’accès à ces données. Par ailleurs, les dispositions nationales applicables dans l’affaire au principal ne préciseraient pas, lorsque les finalités du traitement des données à caractère personnel sont déterminées par la loi, quelle autorité est soumise aux droits et
aux obligations d’un responsable du traitement des données à caractère personnel.
48 En outre, la juridiction de renvoi se demande si elle peut vérifier, avant d’autoriser l’accès aux données, si l’Inspection a pris des mesures pour assurer un traitement des données en conformité avec la loi, afin de ne pas agir comme une simple chambre d’enregistrement.
49 Enfin, quand bien même la juridiction chargée d’autoriser l’accès de l’Inspection aux données à caractère personnel couvertes par le secret bancaire n’aurait pas la qualité de responsable du traitement ou d’autorité de contrôle, la question se poserait de savoir si elle doit procéder à de tels contrôles afin d’assurer la protection juridictionnelle effective prévue à l’article 79 du RGPD. Certes, cette disposition régit les cas dans lesquels la personne concernée saisit le juge aux fins de la
protection de ses droits. Toutefois, lorsque la procédure relative à la divulgation des données est menée sans la participation de la personne concernée et que le droit national prévoit un contrôle juridictionnel préalable, une obligation similaire devrait s’imposer d’office. Cela découlerait également du droit à un recours juridictionnel effectif, consacré à l’article 47 de la Charte. En l’absence d’une telle obligation, le juge se limiterait toujours à un examen formel et à une confirmation de
l’action de l’administration, ce qui pourrait apparaître comme contraire aux objectifs de l’article 79 du RGPD.
50 Dans ces conditions, le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes, formulées en des termes identiques dans les affaires C‑313/23, C‑316/23 et C‑332/23 :
« 1) Convient-il d’interpréter l’article 19, paragraphe 1, second alinéa, [TUE], lu en combinaison avec l’article 47, deuxième alinéa, de la [Charte], en ce sens que le fait qu’une autorité, qui peut infliger des sanctions disciplinaires aux juges et qui a le pouvoir de récolter des données sur leur patrimoine, demeure en fonctions au-delà de la fin du mandat constitutionnellement établi pour elle, sans date de fin clairement définie, constitue – en soi ou sous certaines conditions – une
violation de l’exigence imposée aux États membres de garantir des voies de recours effectives en vue d’un contrôle juridictionnel indépendant ? Et si une telle extension dans le temps des pouvoirs est permise, à quelles conditions ?
2) Convient-il d’interpréter l’article 2, paragraphe 2, sous a), du [RGPD] en ce sens que l’activité de levée du secret bancaire aux fins de la vérification du patrimoine des magistrats, patrimoine qui est ensuite rendu public, constitue une activité qui ne relève pas du champ d’application du droit de l’Union ? La réponse se trouve-t-elle modifiée lorsque cette activité implique également la divulgation de données sur les membres de la famille des magistrats, lesquels n’ont pas la qualité de
magistrat ?
3) S’il est répondu à la deuxième question en ce sens que le droit de l’Union est applicable, convient-il d’interpréter l’article 4, point 7, du RGPD en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires des magistrats et des membres de leur famille, détermine les finalités ou les moyens du traitement des données à caractère personnel et constitue donc un “responsable du traitement” des données à
caractère personnel ?
4) S’il est répondu à la deuxième question en ce sens que le droit de l’Union est applicable et par la négative à la troisième question, convient-il d’interpréter l’article 51 du RGPD en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires des magistrats et des membres de leur famille, est chargée de surveiller l’application du RGPD et a donc la qualité d’“autorité de contrôle” en ce qui concerne ces
données ?
5) S’il est répondu à la deuxième question en ce sens que le droit de l’Union est applicable et par l’affirmative à l’une des troisième ou quatrième questions, convient-il d’interpréter l’article 32, paragraphe 1, sous b), du RGPD, respectivement son article 57, paragraphe 1, sous a), en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires des magistrats et des membres de leur famille, est tenue,
lorsqu’il existe des informations sur une violation antérieure de la sécurité des données à caractère personnel par l’autorité à laquelle l’accès doit être accordé, de demander des informations sur les mesures qui ont été prises pour la protection des données et d’examiner l’adéquation de ces mesures lorsqu’elle décide d’accorder ou non l’accès ?
6) S’il est répondu à la deuxième question en ce sens que le droit de l’Union est applicable et indépendamment des réponses données à la troisième ou à la quatrième question, convient-il d’interpréter l’article 79, paragraphe 1, du RGPD, lu en combinaison avec l’article 47 de la [Charte], en ce sens que, lorsque le droit national de l’un des États membres de l’Union prévoit que certaines catégories de données ne peuvent être divulguées qu’après autorisation judiciaire, la juridiction qui accorde
cette autorisation est tenue d’assurer d’office la protection des personnes dont elle divulgue les données en exigeant de l’autorité étatique qui demande l’accès aux données, et dont il est notoire qu’elle a rendu possible une violation de la sécurité de données à caractère personnel, qu’elle fournisse des informations sur les mesures prises en vertu de l’article 33, paragraphe 3, sous d), du RGPD et sur leur mise en œuvre effective ? »
La procédure devant la Cour
Sur la jonction
51 Par décision du président de la Cour du 30 juin 2023, les affaires C‑313/23, C‑316/23 et C‑332/23 ont été jointes aux fins des procédures écrite et orale ainsi que de l’arrêt.
Sur la demande de réouverture de la phase orale de la procédure
52 Par acte déposé au greffe de la Cour le 30 octobre 2024, l’Inspection a demandé à ce que soit ordonnée, en application de l’article 83 du règlement de procédure de la Cour, la réouverture de la phase écrite de la procédure. Dès lors que ledit article 83 régit la réouverture de la phase orale de la procédure et que, en l’occurrence, cette phase avait été clôturée à la suite de la présentation des conclusions de M. l’avocat général, cette demande doit être comprise comme visant la réouverture de la
phase orale.
53 À l’appui de sa demande, l’Inspection avance deux raisons en lien avec la première question préjudicielle. En premier lieu, un fait nouveau serait survenu, à savoir la modification, au mois de décembre 2023, de l’article 132a, paragraphe 4, de la Constitution bulgare, en ce sens que les membres de l’Inspection pourraient désormais être élus pour deux mandats consécutifs. En second lieu, dans ses conclusions, M. l’avocat général aurait porté une appréciation inexacte sur la situation en cause au
principal en faisant référence à une réglementation nationale et à un avis de la Commission européenne pour la démocratie par le droit, dite « Commission de Venise », non pertinents pour les présentes affaires.
54 À cet égard, il convient de rappeler, d’une part, que le statut de la Cour de justice de l’Union européenne et le règlement de procédure ne prévoient pas la possibilité, pour les intéressés visés à l’article 23 de ce statut, de présenter des observations en réponse aux conclusions présentées par l’avocat général. D’autre part, en vertu de l’article 252, second alinéa, TFUE, l’avocat général présente publiquement, en toute impartialité et en toute indépendance, des conclusions motivées sur les
affaires qui, conformément audit statut, requièrent son intervention. La Cour n’est liée ni par ces conclusions ni par la motivation au terme de laquelle l’avocat général parvient à celles‑ci. Par conséquent, le désaccord d’une partie intéressée avec les conclusions de l’avocat général, quelles que soient les questions que ce dernier examine dans ses conclusions, ne peut constituer en soi un motif justifiant la réouverture de la procédure orale (arrêt du 19 décembre 2024, Ford Italia, C‑157/23,
EU:C:2024:1045, point 26 et jurisprudence citée).
55 Certes, conformément à l’article 83 du règlement de procédure, cette dernière peut, à tout moment, l’avocat général entendu, ordonner l’ouverture ou la réouverture de la phase orale de la procédure, notamment si elle considère qu’elle est insuffisamment éclairée, ou lorsqu’une partie a soumis, après la clôture de cette phase, un fait nouveau de nature à exercer une influence décisive sur la décision de la Cour, ou encore lorsque l’affaire doit être tranchée sur la base d’un argument qui n’a pas
été débattu entre les intéressés.
56 Toutefois, en l’occurrence, la Cour dispose de tous les éléments nécessaires pour statuer sur les demandes de décision préjudicielle et les présentes affaires ne doivent pas être tranchées sur la base d’arguments qui n’auraient pas été débattus entre les intéressés. En outre, la demande de réouverture de la phase orale de la procédure ne révèle aucun fait nouveau de nature à pouvoir exercer une influence décisive sur la décision que la Cour est appelée à rendre dans ces affaires.
57 Dans ces conditions, la Cour considère, l’avocat général entendu, qu’il n’y a pas lieu d’ordonner la réouverture de la phase orale de la procédure.
Sur la recevabilité des demandes de décision préjudicielle
58 Le gouvernement bulgare émet des doutes quant à la recevabilité des demandes de décision préjudicielle, au motif que l’organisme de renvoi au principal ne présenterait pas, dans le cadre des procédures au principal, le caractère d’une « juridiction », au sens de l’article 267 TFUE. En effet, d’une part, les procédures devant cet organisme seraient unilatérales en ce qu’elles seraient conduites sans la participation des personnes concernées. D’autre part, ces procédures n’auraient pas pour objet
la résolution d’un litige juridique, puisque leur seule finalité serait de vérifier si les conditions requises pour la levée du secret bancaire sont remplies.
59 Selon la jurisprudence constante de la Cour, pour apprécier si l’organisme de renvoi en cause possède le caractère d’une « juridiction », au sens de l’article 267 TFUE, question qui relève uniquement du droit de l’Union, la Cour tient compte d’un ensemble d’éléments, tels que, entre autres, l’origine légale de cet organisme, sa permanence, le caractère obligatoire de sa juridiction, l’application, par l’organisme en cause, des règles de droit ainsi que son indépendance (voir, en ce sens, arrêts
du 29 mars 2022, Getin Noble Bank, C‑132/20, EU:C:2022:235, point 66, ainsi que du 7 mai 2024, NADA e.a., C‑115/22, EU:C:2024:384, point 35 et jurisprudence citée).
60 Il ressort également d’une jurisprudence constante que, si l’article 267 TFUE ne subordonne pas la saisine de la Cour au caractère contradictoire de la procédure au cours de laquelle le juge national formule une question préjudicielle, les juridictions nationales ne sont habilitées à saisir la Cour que si un litige est pendant devant elles et si elles sont appelées à statuer dans le cadre d’une procédure destinée à aboutir à une décision de caractère juridictionnel. Partant, il convient de
déterminer l’habilitation d’un organisme à saisir la Cour selon des critères tant structurels que fonctionnels. Un organisme national peut être qualifié de « juridiction », au sens de l’article 267 TFUE, lorsqu’il exerce des fonctions juridictionnelles, tandis que, dans l’exercice d’autres fonctions, notamment de nature administrative, cette qualification ne peut lui être reconnue (voir, en ce sens, arrêt du 3 mai 2022, CityRail, C‑453/20, EU:C:2022:341, points 42 et 43 ainsi que jurisprudence
citée).
61 Il n’est pas contesté que le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia), en tant que tel, répond aux exigences rappelées, au point 59 du présent arrêt, concernant son origine, sa permanence, l’application de règles de droit ainsi que son indépendance et aucun élément du dossier dont dispose la Cour ne conduit à émettre de doutes à cet égard. Ce qui, en l’occurrence, est soulevé par le gouvernement bulgare est la question de savoir si cette juridiction est appelée à statuer dans le
cadre d’une procédure destinée à aboutir à une décision de caractère juridictionnel. À cet égard, il y a lieu de relever que cette juridiction est saisie d’une demande de l’Inspection visant à la levée du secret bancaire au titre de l’article 62, paragraphe 6, point 12, du ZKI. Si le gouvernement bulgare fait valoir que l’examen que la juridiction de renvoi doit effectuer est de nature purement formelle, il reste que cette dernière est appelée à contrôler si les conditions légales auxquelles est
subordonnée la levée du secret bancaire sont remplies, à statuer par voie de décision motivée et à fixer la période pour laquelle le secret bancaire est levé.
62 En particulier, l’autorisation que la juridiction de renvoi est susceptible d’accorder a vocation à se substituer, ainsi qu’il ressort de l’article 62, paragraphe 5, du ZKI, au consentement des personnes concernées. Cette autorisation est opposable aux banques auprès desquelles ces personnes disposent de comptes bancaires et a pour effet de permettre à l’Inspection d’accéder aux données à caractère personnel relatives à ces comptes. En outre, un tel accès comporte une ingérence dans les droits
fondamentaux desdites personnes, consacrés aux articles 7 et 8 de la Charte [voir, en ce sens, arrêt du 6 octobre 2020, État luxembourgeois (Droit de recours contre une demande d’information en matière fiscale), C‑245/19 et C‑246/19, EU:C:2020:795, point 74].
63 Dans ces conditions, les fonctions qu’exerce la juridiction de renvoi au titre de l’article 62, paragraphe 6, point 12, du ZKI ne consistent pas en l’adoption d’actes de nature administrative susceptibles de recours juridictionnel, mais doivent être qualifiées de juridictionnelles, cette juridiction étant en effet appelée à statuer de manière indépendante en vue d’assurer la légalité de la levée du secret bancaire (voir, par analogie, ordonnance du 15 janvier 2004, Saetti et Frediani, C‑235/02,
EU:C:2004:26, point 23).
64 En conséquence, les demandes de décision préjudicielle sont recevables.
Sur les questions préjudicielles
Sur la première question
65 À titre liminaire, il y a lieu de rappeler que, selon une jurisprudence constante, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler la question qui lui est soumise (arrêt du 30 janvier 2024, Direktor na Glavna direktsia
« Natsionalna politsia » pri MVR – Sofia, C‑118/22, EU:C:2024:97, point 31 et jurisprudence citée).
66 En l’occurrence, si la première question se réfère à un organe judiciaire « qui peut infliger des sanctions disciplinaires aux juges et qui a le pouvoir de récolter des données sur leur patrimoine », il ressort tant des demandes de décision préjudicielle que du dossier dont dispose la Cour que cet organe contrôle l’activité des magistrats dans l’exercice de leurs fonctions, leur intégrité et l’absence de conflits d’intérêts dans le chef de ceux-ci et qu’il dispose, dans ce cadre, du pouvoir de
collecter des données à caractère personnel qui les concernent. En particulier, ledit organe est habilité, à la suite de tels contrôles, à proposer à un autre organe judiciaire l’ouverture d’une procédure disciplinaire en vue de l’imposition de sanctions disciplinaires à leur égard.
67 Or, ainsi qu’il ressort des demandes de décision préjudicielle, la juridiction de renvoi considère que la circonstance que les membres de l’Inspection, lesquels sont élus par une majorité des deux tiers des députés de l’Assemblée nationale, continuent à exercer leurs fonctions malgré l’expiration de leurs mandats est de nature à soulever des interrogations au regard de l’exigence d’indépendance du pouvoir judiciaire. En effet, cette juridiction se pose la question de savoir si les membres de cet
organe judiciaire sont susceptibles, dans un tel contexte, d’exercer une influence indue sur les magistrats ou de poursuivre leurs activités sous la pression de députés de l’Assemblée nationale.
68 Ainsi, la première question préjudicielle porte sur l’interprétation de l’article 19, paragraphe 1, second alinéa, TUE, lu à la lumière de l’article 47 de la Charte, uniquement au regard de la prorogation des mandats échus des membres de l’Inspection, sans que l’étendue des pouvoirs de cet organe judiciaire soit, en tant que telle, visée par cette question.
69 Dans ces conditions, il y a lieu de considérer que, par sa première question, la juridiction de renvoi demande, en substance, si et, le cas échéant, dans quelles conditions l’article 19, paragraphe 1, second alinéa, TUE, lu à la lumière de l’article 47 de la Charte, s’oppose à la pratique d’un État membre selon laquelle les membres d’un organe judiciaire de cet État membre, élus par le parlement de celui‑ci pour des mandats d’une durée déterminée et qui sont compétents pour contrôler l’activité
des magistrats dans l’exercice de leurs fonctions, leur intégrité et l’absence de conflits d’intérêts dans le chef de ceux-ci ainsi que de proposer à un autre organe judiciaire l’ouverture d’une procédure disciplinaire en vue de l’imposition de sanctions disciplinaires à leur égard, continuent à exercer leurs fonctions au-delà de la durée légale de leur mandat, fixée par la constitution dudit État membre, jusqu’à ce que ce parlement élise de nouveaux membres.
Sur la compétence de la Cour
70 Le gouvernement polonais soutient que la Cour n’est pas compétente pour répondre à la première question, puisque l’Union ne dispose d’aucune compétence dans le domaine de l’organisation de la justice dans les États membres.
71 À cet égard, si l’organisation de la justice dans les États membres relève de la compétence de ces derniers, ceux-ci n’en sont pas moins tenus, dans l’exercice de cette compétence, de respecter les obligations qui découlent, pour eux, du droit de l’Union et, en particulier, de l’article 19, paragraphe 1, second alinéa, TUE [voir, en ce sens, arrêt du 9 janvier 2024, G. e.a. (Nomination des juges de droit commun en Pologne), C‑181/21 et C‑269/21, EU:C:2024:1, point 57 ainsi que jurisprudence
citée].
72 Tel est le cas des règles nationales qui régissent la responsabilité disciplinaire des juges (voir, en ce sens, arrêts du 21 décembre 2021, Euro Box Promotion e.a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 et C‑840/19, EU:C:2021:1034, point 133, ainsi que du 11 mai 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, point 44 et jurisprudence citée), en ce compris celles relatives à l’organisation et au fonctionnement d’un organe judiciaire qui, à l’instar de l’Inspection, est compétent pour
contrôler l’activité des juges dans l’exercice de leurs fonctions, vérifier leur intégrité et l’existence éventuelle de conflits d’intérêts dans le chef de ces derniers et proposer à un autre organe judiciaire l’ouverture d’une procédure disciplinaire en vue de l’imposition de sanctions disciplinaires à leur égard.
73 Dans ces conditions, et dès lors que la première question préjudicielle porte sur l’interprétation du droit de l’Union, la Cour est compétente pour répondre à cette question.
Sur la recevabilité
74 Le gouvernement bulgare et l’Inspection mettent en cause la recevabilité de la première question au motif que l’Inspection ne dispose pas du pouvoir d’infliger des sanctions disciplinaires, de sorte que cette première question n’aurait aucun rapport avec l’objet des procédures au principal.
75 En outre, l’Inspection fait valoir que la première question est hypothétique. En effet, d’une part, les procédures au principal n’auraient aucun rapport avec des procédures disciplinaires. D’autre part, et alors que le constat d’une violation de l’article 19, paragraphe 1, second alinéa, TUE nécessite une violation structurelle des exigences d’indépendance, la juridiction de renvoi ne préciserait pas en quoi la violation alléguée en cause au principal serait de nature structurelle.
76 À cet égard, selon la jurisprudence constante, il appartient au seul juge national qui est saisi du litige et qui doit assumer la responsabilité de la décision juridictionnelle à intervenir d’apprécier, au regard des particularités de l’affaire, tant la nécessité d’une décision préjudicielle pour être en mesure de rendre son jugement que la pertinence des questions qu’il pose à la Cour. En conséquence, dès lors que les questions posées portent sur l’interprétation d’une règle de droit de l’Union,
la Cour est, en principe, tenue de statuer [arrêts du 16 février 2023, Rzecznik Praw Dziecka e.a. (Suspension de la décision de retour), C‑638/22 PPU, EU:C:2023:103, point 47, ainsi que du 24 juillet 2023, Lin, C‑107/23 PPU, EU:C:2023:606, point 61].
77 Les questions portant sur le droit de l’Union bénéficient, par conséquent, d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation d’une règle de l’Union sollicitée n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de
droit nécessaires pour répondre de façon utile aux questions qui lui sont posées [voir, en ce sens, arrêts du 16 février 2023, Rzecznik Praw Dziecka e.a. (Suspension de la décision de retour), C‑638/22 PPU, EU:C:2023:103, point 48, ainsi que du 24 juillet 2023, Lin, C‑107/23 PPU, EU:C:2023:606, point 62].
78 En l’occurrence, la juridiction de renvoi s’interroge sur la suite à réserver aux demandes de l’Inspection d’être autorisée à accéder aux données relatives aux comptes bancaires de plusieurs magistrats et des membres de leur famille. En particulier, cette juridiction souhaite savoir si le droit de l’Union s’oppose à ce qu’un tel organe judiciaire puisse la saisir de demandes de cette nature alors que les mandats de l’ensemble de ses membres ont expiré depuis plusieurs années. Il apparaît donc
qu’il appartient à ladite juridiction de statuer in limine litis à titre incident sur cette question avant de pouvoir décider de l’issue des demandes dont elle est saisie. Il s’ensuit que l’interprétation sollicitée du droit de l’Union répond à un besoin objectif pour la décision que la juridiction de renvoi doit prendre (voir, en ce sens, arrêt du 18 mai 2021, Asociaţia « Forumul Judecătorilor din România » e.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393,
points 118 et 119).
79 Quant aux considérations de l’Inspection exposées au point 75 du présent arrêt, relatives notamment aux pouvoirs dont elle dispose dans le contexte des procédures au principal et à l’absence de violation structurelle des exigences découlant de l’article 19, paragraphe 1, second alinéa, TUE, celles-ci relèvent, en réalité, de l’examen au fond de la première question et, dès lors, ne sauraient conduire à son irrecevabilité.
80 Il résulte de ce qui précède que la première question préjudicielle est recevable.
Sur le fond
81 Tout État membre doit, en vertu de l’article 19, paragraphe 1, second alinéa, TUE, assurer que les instances qui sont appelées, en tant que « juridiction », au sens du droit de l’Union, à statuer sur des questions liées à l’application ou à l’interprétation de ce droit et qui relèvent ainsi de son système de voies de recours dans les domaines couverts par le droit de l’Union satisfont aux exigences d’une protection juridictionnelle effective, dont celle de l’indépendance (arrêt du 11 juillet
2024, Hann-Invest e.a., C‑554/21, C‑622/21 et C‑727/21, EU:C:2024:594, point 47 ainsi que jurisprudence citée).
82 L’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect du droit de l’Union est inhérente à un État de droit. À ce titre, conformément à l’article 19, paragraphe 1, second alinéa, TUE, il appartient aux États membres de prévoir un système de voies de recours et de procédures assurant aux justiciables le respect de leur droit à une protection juridictionnelle effective dans les domaines couverts par le droit de l’Union. Le principe de protection juridictionnelle
effective des droits que les justiciables tirent du droit de l’Union, auquel se réfère l’article 19, paragraphe 1, second alinéa, TUE, constitue un principe général du droit de l’Union qui découle des traditions constitutionnelles communes aux États membres, qui a été consacré aux articles 6 et 13 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, et qui est à présent affirmé à l’article 47 de la Charte (arrêt du
21 décembre 2021, Euro Box Promotion e.a., C‑357/19, C‑379/19, C‑547/19, C‑811/19 et C‑840/19, EU:C:2021:1034, point 219 ainsi que jurisprudence citée).
83 À cette fin, la préservation de l’indépendance des instances qui peuvent être appelées à statuer sur des questions liées à l’application ou à l’interprétation du droit de l’Union est primordiale, comme le confirme l’article 47, deuxième alinéa, de la Charte, qui mentionne l’accès à un tribunal « indépendant » parmi les exigences liées au droit fondamental à un recours effectif (arrêt du 18 mai 2021, Asociaţia « Forumul Judecătorilor din România » e.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19,
C‑355/19 et C‑397/19, EU:C:2021:393, point 194 ainsi que jurisprudence citée).
84 Cette exigence d’indépendance des juridictions, qui est inhérente à la mission de juger, relève du contenu essentiel du droit à une protection juridictionnelle effective et du droit fondamental à un procès équitable, ce dernier revêtant une importance cardinale en tant que garant de la protection de l’ensemble des droits que les justiciables tirent du droit de l’Union et de la préservation des valeurs communes aux États membres énoncées à l’article 2 TUE, notamment la valeur de l’État de droit.
Conformément au principe de séparation des pouvoirs qui caractérise le fonctionnement d’un État de droit, l’indépendance des juridictions doit notamment être garantie à l’égard des pouvoirs législatif et exécutif (arrêt du 18 mai 2021, Asociaţia « Forumul Judecătorilor din România » e.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 195 ainsi que jurisprudence citée).
85 Aux termes d’une jurisprudence constante, les garanties d’indépendance et d’impartialité requises en vertu du droit de l’Union postulent l’existence de règles qui permettent d’écarter tout doute légitime, dans l’esprit des justiciables, quant à l’imperméabilité de l’instance en cause à l’égard d’éléments extérieurs et à sa neutralité par rapport aux intérêts qui s’affrontent (arrêts du 20 avril 2021, Repubblika, C‑896/19, EU:C:2021:311, point 53 et jurisprudence citée, ainsi que du 18 mai 2021,
Asociaţia « Forumul Judecătorilor din România » e.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 196).
86 S’agissant plus particulièrement des règles gouvernant le régime disciplinaire des juges, l’exigence d’indépendance des juridictions résultant de l’article 19, paragraphe 1, second alinéa, TUE impose que ce régime présente les garanties nécessaires afin d’éviter tout risque d’utilisation d’un tel régime en tant que système de contrôle politique du contenu des décisions judiciaires. À cet égard, l’édiction de règles qui définissent, notamment, tant les comportements constitutifs d’infractions
disciplinaires que les sanctions concrètement applicables, qui prévoient l’intervention d’une instance indépendante conformément à une procédure garantissant pleinement les droits consacrés aux articles 47 et 48 de la Charte, notamment les droits de la défense, et qui consacrent la possibilité de contester en justice les décisions des organes disciplinaires, constitue un ensemble de garanties essentielles aux fins de la préservation de l’indépendance du pouvoir judiciaire (arrêts du 18 mai 2021,
Asociaţia « Forumul Judecătorilor din România » e.a., C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 198 et jurisprudence citée, ainsi que du 11 mai 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, point 48 et jurisprudence citée).
87 La perspective d’ouverture d’une enquête disciplinaire étant, en tant que telle, susceptible d’exercer une pression sur ceux qui ont la tâche de juger, la Cour a déjà jugé qu’il est essentiel qu’un organe compétent pour conduire les enquêtes et exercer l’action disciplinaire agisse lors de l’exercice de ses missions de manière objective et impartiale et qu’il soit, à cet effet, à l’abri de toute influence extérieure (arrêts du 18 mai 2021, Asociaţia « Forumul Judecătorilor din România » e.a.,
C‑83/19, C‑127/19, C‑195/19, C‑291/19, C‑355/19 et C‑397/19, EU:C:2021:393, point 199, ainsi que du 11 mai 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, point 49). Il en va en particulier ainsi d’un organe judiciaire qui, à l’instar de l’Inspection, dispose d’un large pouvoir de contrôler l’activité des magistrats dans l’exercice de leurs fonctions, leur intégrité et l’absence de conflits d’intérêts dans le chef de ceux-ci, ainsi que de proposer, à la suite de tels contrôles, à un autre
organe judiciaire l’ouverture d’une procédure disciplinaire en vue de l’imposition de sanctions disciplinaires à leur égard.
88 Ainsi, il importe que l’ensemble des règles régissant l’organisation et le fonctionnement d’un tel organe, en ce compris celles gouvernant la procédure de nomination de ses membres, soient conçues de manière à ce qu’elles ne puissent faire naître aucun doute légitime, dans l’esprit des justiciables, quant à l’utilisation des prérogatives et des fonctions d’un tel organe comme instrument de pression sur l’activité judiciaire ou de contrôle politique de cette activité (voir, en ce sens, arrêt du
11 mai 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, points 50 et 51 ainsi que jurisprudence citée).
89 En effet, ces règles sont, de manière générale, susceptibles d’affecter directement la pratique dudit organe et donc de prévenir ou, au contraire, de favoriser l’exercice d’actions disciplinaires ayant pour objet ou pour effet d’exercer une pression, en particulier, sur ceux qui ont la tâche de juger ou d’assurer un contrôle politique de leur activité (voir, en ce sens, arrêt du 11 mai 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, point 52).
90 C’est à la juridiction de renvoi qu’il appartiendra, en dernière analyse, de se prononcer sur l’imperméabilité de l’organe en cause au principal à l’égard de toute influence extérieure ainsi que sur son objectivité et son impartialité par rapport à l’exercice de ses missions, après avoir procédé aux appréciations requises à cette fin. Il importe, en effet, de rappeler que l’article 267 TFUE habilite la Cour non pas à appliquer les règles du droit de l’Union à une espèce déterminée, mais seulement
à se prononcer sur l’interprétation des traités et des actes pris par les institutions de l’Union. Toutefois, conformément à une jurisprudence constante, la Cour peut, dans le cadre de la coopération judiciaire instaurée à cet article 267 TFUE, à partir des éléments du dossier, fournir à la juridiction nationale les éléments d’interprétation du droit de l’Union qui pourraient lui être utiles dans l’appréciation des effets de telle ou telle disposition de celui-ci (voir, en ce sens, arrêt du
11 mai 2023, Inspecţia Judiciară, C‑817/21, EU:C:2023:391, point 58).
91 En l’occurrence, l’Inspection se compose d’un inspecteur général et de dix inspecteurs qui sont élus par l’Assemblée nationale à la majorité des deux tiers de ses membres pour un mandat respectivement de cinq et de quatre ans. Conformément à la législation nationale applicable à la date d’introduction des présentes demandes de décision préjudicielle, les membres de l’Inspection ne pouvaient pas être réélus pour un deuxième mandat consécutif.
92 S’agissant de la situation en cause au principal, où les mandats des membres de l’Inspection ont expiré sans que l’Assemblée nationale ait procédé à l’élection de ses nouveaux membres, la réglementation nationale ne semble comporter aucune règle quant à une possible continuation de l’exercice de leurs fonctions par les membres de l’Inspection dont le mandat a expiré. Certes, selon les indications de la juridiction de renvoi, les membres de l’Inspection continuent, dans une telle situation,
conformément à une jurisprudence du Konstitutsionen sad (Cour constitutionnelle), à exercer leurs fonctions jusqu’à ce que l’Assemblée nationale élise de nouveaux membres. Toutefois, outre que le droit bulgare ne comporte pas de règles de nature à encadrer l’exercice de ces fonctions ainsi prolongé, il ne contient non plus aucun dispositif légal permettant de mettre fin à un éventuel blocage dans le processus de nomination des nouveaux membres de l’Inspection, de sorte que la prorogation des
mandats de ses anciens membres apparaît, en pratique, comme étant susceptible de se prolonger sans limitation dans le temps.
93 Or, d’une part, s’il appartient aux seuls États membres de décider s’ils autorisent ou non l’exercice des fonctions des membres d’un organe judiciaire, qui est compétent pour contrôler l’activité des magistrats et proposer l’ouverture de procédures disciplinaires à leur égard, au-delà de la durée légale des mandats de ces membres afin d’assurer la continuité du fonctionnement de cet organe, les États membres sont tenus, lorsqu’ils optent pour une telle prorogation des mandats, de veiller à ce que
l’exercice des fonctions après l’expiration du mandat repose sur une base légale explicite en droit interne comportant des règles claires et précises de nature à encadrer cet exercice.
94 En outre, les États membres doivent veiller à ce que les conditions et les modalités auxquelles se trouve soumis un tel exercice soient conçues de manière à permettre aux membres concernés d’un tel organe judiciaire d’agir, dans l’accomplissement de leurs missions, de manière objective et impartiale et qu’ils soient, à cet effet, à l’abri de toute influence extérieure, ainsi que l’exige la jurisprudence citée aux points 87 et 88 du présent arrêt.
95 D’autre part, ainsi que l’a relevé en substance M. l’avocat général au point 58 de ses conclusions, si, dans certaines circonstances, la prorogation des mandats peut s’avérer nécessaire eu égard à l’importance des fonctions exercées par l’organe judiciaire concerné, il n’en demeure pas moins que, au-delà de la durée légale de ces mandats, ledit organe agit en dehors de toute base légale explicite en droit interne comportant des règles claires et précises de nature à encadrer l’exercice de ces
fonctions. Partant, ce n’est qu’à titre exceptionnel et à la condition que cette prorogation soit encadrée par des règles claires et précises excluant, en pratique, la possibilité qu’elle soit illimitée dans le temps, que ladite prorogation peut être envisageable.
96 Toutefois, lorsqu’un État membre procède à un tel encadrement, il ne saurait modifier sa législation, ni sa constitution, de manière à entraîner une régression de la protection de la valeur de l’État de droit, valeur qui est concrétisée, notamment, par l’article 19 TUE, en particulier en ce qui concerne les garanties d’indépendance des juges à l’égard des pouvoirs législatif et exécutif (voir, en ce sens, arrêt du 20 avril 2021, Repubblika, C‑896/19, EU:C:2021:311, points 63 et 65).
97 Eu égard aux considérations qui précèdent, il convient de répondre à la première question que l’article 19, paragraphe 1, second alinéa, TUE, lu à la lumière de l’article 47 de la Charte, doit être interprété en ce sens que le principe d’indépendance des juges s’oppose à la pratique d’un État membre selon laquelle les membres d’un organe judiciaire de cet État membre, élus par le parlement de celui‑ci pour des mandats d’une durée déterminée et qui sont compétents pour contrôler l’activité des
magistrats dans l’exercice de leurs fonctions, leur intégrité et l’absence de conflits d’intérêts dans le chef de ceux-ci ainsi que de proposer à un autre organe judiciaire l’ouverture d’une procédure disciplinaire en vue de l’imposition de sanctions disciplinaires à leur égard, continuent à exercer leurs fonctions au-delà de la durée légale de leur mandat, fixée par la constitution dudit État membre, jusqu’à ce que ce parlement élise de nouveaux membres, sans que la prorogation des mandats échus
repose sur une base légale explicite en droit national comportant des règles claires et précises de nature à encadrer l’exercice de ces fonctions et sans qu’il soit assuré que cette prorogation soit, en pratique, limitée dans le temps.
Sur la deuxième question
98 Par sa deuxième question, la juridiction de renvoi cherche, en substance, à savoir si l’article 2 du RGPD doit être interprété en ce sens que la divulgation à un organe judiciaire de données à caractère personnel qui sont protégées par le secret bancaire et qui concernent des magistrats ainsi que les membres de leur famille, en vue de la vérification des déclarations de ces magistrats relatives à leur patrimoine ainsi qu’à celui des membres de leur famille, ces déclarations faisant l’objet d’une
publication, constitue un traitement de données à caractère personnel qui relève du champ d’application matériel de ce règlement.
99 Selon une jurisprudence constante, l’article 2, paragraphe 1, du RGPD donne une définition très large du champ d’application matériel de celui‑ci. Sous réserve des cas mentionnés à son article 2, paragraphes 2 et 3, le RGPD s’applique aux traitements effectués tant par les personnes privées que par les autorités publiques, y compris, comme l’indique le considérant 20 de celui-ci, par les autorités judiciaires (voir, en ce sens, arrêts du 24 mars 2022, Autoriteit Persoonsgegevens, C‑245/20,
EU:C:2022:216, point 25, ainsi que du 16 janvier 2024, Österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, points 33 et 36).
100 En outre, la Cour a déjà jugé que ni le fait que des informations faisant l’objet de dispositions nationales ont trait à des juges ni la circonstance que ces informations seraient éventuellement susceptibles de présenter certains liens avec l’exercice des fonctions de ceux-ci ne sont, en tant que tels, de nature à soustraire ces dispositions nationales au champ d’application du RGPD [arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442,
point 315].
101 En effet, l’article 2 du RGPD fixe, à ses paragraphes 2 et 3, de manière exhaustive, les exceptions à la règle définissant le champ d’application matériel de ce règlement énoncée à son paragraphe 1, et ces exceptions, en particulier celles prévues au paragraphe 2, doivent recevoir une interprétation stricte [voir, en ce sens, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 62 ; du 5 juin 2023, Commission/Pologne (Indépendance et vie privée
des juges), C‑204/21, EU:C:2023:442, point 316, ainsi que du 16 janvier 2024, Österreichische Datenschutzbehörde, C‑33/22, EU:C:2024:46, point 37].
102 L’article 2, paragraphe 2, sous a), du RGPD, qui est spécifiquement visé par la deuxième question préjudicielle, prévoit que ce règlement ne s’applique pas au traitement de données à caractère personnel effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ».
103 Conformément à la jurisprudence constante, cette disposition, lue à la lumière du considérant 16 du RGPD, a pour seul objet d’exclure du champ d’application de celui-ci les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie, étant précisé que les activités qui ont pour but de préserver la sécurité nationale couvrent, en particulier,
celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société. Ainsi, le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité [voir, en ce sens, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, points 66 et 67 ; du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet
(Finalités du traitement de données à caractère personnel – Enquête pénale), C‑180/21, EU:C:2022:967, point 79, ainsi que du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, points 317 et 318].
104 Or, si le fait d’assurer la bonne administration de la justice dans les États membres et, notamment, l’édiction de règles applicables au statut des magistrats, en particulier des juges, et à l’exercice de leurs fonctions relèvent de la compétence de ces États [voir, en ce sens, arrêt du 5 juin 2023, Commission/Pologne (Indépendance et vie privée des juges), C‑204/21, EU:C:2023:442, point 319], il n’en demeure pas moins qu’un traitement de données, tel que celui en cause au principal, qui a pour
objectif le contrôle de l’intégrité des magistrats ainsi que la vérification de l’existence d’éventuels conflits d’intérêts dans leur chef, ne relève ni d’une activité qui vise à préserver la sécurité nationale ni d’une activité pouvant être rangée dans la même catégorie.
105 Par ailleurs, il convient de noter que la divulgation à un organe judiciaire de données à caractère personnel qui sont protégées par le secret bancaire et qui concernent des magistrats ainsi que les membres de leur famille, en vue de la vérification des déclarations relatives à leur patrimoine ainsi qu’à celui des membres de leur famille, ces déclarations faisant l’objet d’une publication, constitue un « traitement », au sens de l’article 4, point 2, du RGPD. En effet, une telle divulgation
constitue une mise à disposition de ces données à caractère personnel en faveur de cet organe.
106 Il convient donc de répondre à la deuxième question préjudicielle que l’article 2 du RGPD doit être interprété en ce sens que la divulgation à un organe judiciaire de données à caractère personnel qui sont protégées par le secret bancaire et qui concernent des magistrats ainsi que les membres de leur famille, en vue de la vérification des déclarations de ces magistrats relatives à leur patrimoine ainsi qu’à celui des membres de leur famille, ces déclarations faisant l’objet d’une publication,
constitue un traitement de données à caractère personnel qui relève du champ d’application matériel de ce règlement.
Sur la troisième question
107 Par sa troisième question, la juridiction de renvoi demande si l’article 4, point 7, du RGPD doit être interprété en ce sens qu’une juridiction compétente pour autoriser, sur demande d’un autre organe judiciaire, la divulgation par une banque à cet organe de données relatives aux comptes bancaires des magistrats ainsi que des membres de leur famille peut être qualifiée de responsable du traitement au sens de cette disposition.
108 En vertu de l’article 4, point 7, du RGPD, la notion de « responsable du traitement » couvre les personnes physiques ou morales, les autorités publiques, les services ou les autres organismes qui, seuls ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement. Cette disposition énonce également que, lorsque les finalités et les moyens de ce traitement sont déterminés notamment par le droit d’un État membre, le responsable du traitement peut être désigné ou les
critères spécifiques applicables à sa désignation peuvent être prévus par ce droit.
109 Conformément à la jurisprudence constante de la Cour, ladite disposition vise à assurer, par une définition large de la notion de « responsable du traitement », en conformité avec l’objectif du RGPD, une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (voir, en ce sens, arrêts du 5 décembre 2023,
Nacionalinis visuomenės sveikatos centras, C‑683/21, EU:C:2023:949, points 28 et 29, ainsi que du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, points 53 à 55 et jurisprudence citée).
110 Pour déterminer si une personne ou une entité doit être qualifiée de responsable du traitement, au sens de l’article 4, point 7, du RGPD, il convient donc de rechercher si cette personne ou cette entité détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement ou bien si ceux-ci sont déterminés par le droit national. Lorsqu’une telle détermination est effectuée par le droit national, il y a lieu de vérifier si ce droit désigne le responsable du traitement ou
prévoit les critères spécifiques applicables à sa désignation (arrêt du 27 février 2025, Amt der Tiroler Landesregierung, C‑638/23, EU:C:2025:127, point 27).
111 Il importe encore de préciser que, eu égard à la définition large de la notion de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, la détermination des finalités et des moyens du traitement et, le cas échéant, la désignation de ce responsable par le droit national peuvent être non seulement explicites, mais également implicites. Dans ce dernier cas de figure, il est néanmoins requis que cette détermination des finalités et des moyens du traitement découle de manière
suffisamment certaine du rôle, de la mission et des attributions dévolus à la personne ou à l’entité concernée (arrêt du 27 février 2025, Amt der Tiroler Landesregierung, C‑638/23, EU:C:2025:127, point 28).
112 En effet, ce serait amoindrir la protection des personnes concernées si l’article 4, point 7, du RGPD était interprété de manière restrictive pour ne couvrir que les cas de figure dans lesquels les finalités et les moyens d’un traitement de données opéré par une personne, une autorité publique, un service ou un organisme sont déterminés expressément par le droit national, alors même que ces finalités et ces moyens ressortiraient, en substance, des dispositions légales régissant l’activité de
l’entité concernée [arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel), C‑231/22, EU:C:2024:7, point 30].
113 En l’occurrence, la juridiction de renvoi se demande si elle doit être considérée comme étant responsable du traitement en cause au principal, à savoir la divulgation à l’Inspection de données à caractère personnel qui sont couvertes par le secret bancaire, en raison du fait qu’elle est légalement chargée d’autoriser une telle divulgation.
114 À cet égard, en vertu de la réglementation nationale applicable dans les affaires au principal, l’Inspection est compétente pour effectuer, notamment, des contrôles concernant l’intégrité et l’absence de conflits d’intérêts dans le chef des magistrats ainsi que leurs déclarations de patrimoine. À cet effet, cette réglementation ouvre à l’Inspection la possibilité de solliciter l’accès aux données relatives aux comptes bancaires des magistrats ainsi que des membres de leur famille. Dans
l’hypothèse où les personnes concernées n’ont pas donné un consentement à un tel accès, cet organe judiciaire dispose, en vertu de ladite réglementation, du pouvoir de demander une autorisation juridictionnelle préalable aux fins de l’accès auxdites données.
115 Il apparaît donc que c’est la réglementation nationale applicable dans les affaires au principal qui détermine le cercle de personnes et les données susceptibles de faire l’objet du traitement, qui fixe les finalités de ce traitement et qui désigne l’organe compétent, à savoir l’Inspection, en vue de la réalisation de ces finalités. La juridiction saisie d’une demande d’autorisation de divulgation n’intervient que sur demande de l’Inspection aux fins de l’exercice des pouvoirs que lui confère le
droit national et se borne à vérifier si les conditions de légalité fixées par ce droit sont remplies. De même, c’est non pas cette juridiction mais l’Inspection qui détermine, en fonction des règles nationales applicables, les personnes aux données desquelles elle entend avoir accès aux fins de cet exercice et par rapport auxquelles elle introduit une demande d’autorisation auprès de ladite juridiction.
116 Ainsi, bien qu’il appartienne à cette juridiction d’examiner si et dans quelle mesure les conditions de légalité du traitement sont réunies dans un cas d’espèce donné, elle ne détermine de son propre chef ni la finalité du traitement ni les personnes et les données concernées. Dans ces conditions, c’est non pas ladite juridiction qui est responsable du traitement, au sens de l’article 4, point 7, du RGPD, mais l’organe compétent pour la réalisation des finalités poursuivies.
117 Eu égard aux considérations qui précèdent, il y a lieu de répondre à la troisième question que l’article 4, point 7, du RGPD doit être interprété en ce sens qu’une juridiction compétente pour autoriser, sur demande d’un autre organe judiciaire, la divulgation par une banque à cet organe de données relatives aux comptes bancaires des magistrats ainsi que des membres de leur famille ne peut être qualifiée de responsable de ce traitement, au sens de cette disposition.
Sur la quatrième question
118 Par sa quatrième question, la juridiction de renvoi demande, en substance, si l’article 51 du RGPD doit être interprété en ce sens qu’une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire constitue une autorité de contrôle, au sens de cet article.
119 L’article 51, paragraphe 1, du RGPD impose aux États membres de prévoir une ou plusieurs autorités publiques indépendantes qui sont chargées de surveiller l’application de ce règlement. L’institution de telles autorités, qui est également prévue par le droit primaire de l’Union, à savoir l’article 8, paragraphe 3, de la Charte et l’article 16, paragraphe 2, TFUE, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel
[voir, en ce sens, arrêt du 8 avril 2014, Commission/Hongrie, C‑288/12, EU:C:2014:237, point 48, et avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017, EU:C:2017:592, point 229].
120 Lesdites autorités ont pour mission principale, en vertu de l’article 51, paragraphes 1 et 2, ainsi que de l’article 57, paragraphe 1, sous a) et g), du RGPD, de contrôler l’application de ce règlement et de veiller à son respect, tout en contribuant à son application cohérente dans l’Union, et ce afin de protéger les libertés et les droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel et de faciliter le libre flux de telles données au sein
de l’Union. À cette fin, elles disposent des différents pouvoirs qui leur sont conférés en vertu de l’article 58 du RGPD [voir, en ce sens, arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 45].
121 Les États membres sont tenus, conformément à l’article 51, paragraphe 4, du RGPD, de notifier à la Commission les dispositions légales ainsi que les modifications ultérieures qu’ils adoptent en vertu du chapitre VI de ce règlement, en particulier celles concernant la ou les autorités de contrôle qu’ils ont chargées de la mission de surveiller l’application dudit règlement.
122 En l’occurrence, il ne ressort d’aucun élément du dossier dont dispose la Cour que la juridiction de renvoi serait chargée, par le droit bulgare, de la mission de surveiller l’application du RGPD et que, en particulier, elle détiendrait les pouvoirs dont une autorité de contrôle doit disposer en vertu de l’article 58 de ce règlement.
123 Il convient donc de répondre à la quatrième question que l’article 51 du RGPD doit être interprété en ce sens qu’une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire ne constitue pas une autorité de contrôle, au sens de cet article, dans le cas où cette juridiction n’est pas chargée par l’État membre dont elle relève de surveiller l’application de ce règlement afin de protéger notamment les libertés et les droits fondamentaux des
personnes physiques à l’égard du traitement de leurs données à caractère personnel.
Sur la cinquième question
124 La cinquième question n’est posée que dans l’hypothèse où la Cour répondrait par l’affirmative à la troisième ou à la quatrième question. Or, ainsi qu’il a été conclu aux points 117 et 123 du présent arrêt, les troisième et quatrième questions appellent une réponse négative.
125 Partant, il n’y a pas lieu de répondre à la cinquième question préjudicielle.
Sur la sixième question
126 Par sa sixième question, la juridiction de renvoi demande, en substance, si l’article 79, paragraphe 1, du RGPD, lu à la lumière de l’article 47 de la Charte, doit être interprété en ce sens qu’une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire est tenue, sans être saisie d’un recours au titre de cette disposition, d’assurer d’office la protection des personnes dont les données sont concernées quant au respect des dispositions
de ce règlement relatives à la sécurité des données à caractère personnel, lorsqu’il est notoire que cet organe a commis, par le passé, une violation de ces dernières dispositions.
127 À cet égard, la juridiction de renvoi précise que cette question est posée dans la mesure où la procédure engagée devant elle est menée sans la participation des personnes dont les données à caractère personnel sont concernées et où l’autorisation juridictionnelle de la divulgation de ces données à l’Inspection a vocation à se substituer au consentement de ces personnes sans être susceptible de recours. Cette juridiction considère que, si elle se limitait à un examen purement formel de la
demande d’autorisation introduite par l’Inspection, sans s’assurer que cet organe garantit la sécurité des données des personnes concernées, la protection juridictionnelle desdites personnes, prévue à l’article 79 du RGPD, serait privée de son effet utile. C’est dans ces conditions qu’elle s’interroge sur le point de savoir si elle est tenue d’assurer d’office le respect par l’Inspection des règles en matière de sécurité des données, en exigeant de cette dernière qu’elle lui fournisse des
informations sur les mesures de sécurité prises en vertu de l’article 33, paragraphe 3, sous d), de ce règlement.
128 À cet égard, il convient de rappeler que le RGPD met en place un ensemble de règles matérielles et procédurales relatives à la sécurité des données devant être respectées par le responsable du traitement, tout en prévoyant, dans son chapitre VIII, les voies de recours qui visent à protéger les droits des personnes dont les données à caractère personnel ont fait l’objet d’un traitement prétendument contraire aux dispositions dudit règlement et qui peuvent être exercées de manière concurrente et
indépendante par ces personnes (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 35).
129 Dès lors que le niveau de la protection visée par le RGPD est tributaire des mesures de sécurité adoptées par les responsables du traitement de données à caractère personnel, ceux-ci doivent être incités, moyennant le fait qu’ils supportent la charge de démontrer le caractère approprié de ces mesures, à tout mettre en œuvre pour prévenir la survenance d’opérations de traitement non conformes à ce règlement (arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986,
point 55).
130 Le contrôle du respect des exigences de sécurité qu’impose le RGPD incombe, d’une part, aux autorités de contrôle et, d’autre part, aux juridictions nationales saisies d’un recours au titre de l’article 78, paragraphe 1, ou de l’article 79, paragraphe 1, du RGPD.
131 S’agissant des autorités de contrôle, celles-ci ont pour mission principale, ainsi qu’il a été rappelé au point 120 du présent arrêt, de contrôler l’application du RGPD et de veiller à son respect. En particulier, elles doivent être informées, en vertu de l’article 33 de ce règlement, des violations de données à caractère personnel par les responsables du traitement.
132 En outre, l’article 58, paragraphes 1 et 2, du RGPD investit lesdites autorités d’importants pouvoirs d’enquête ainsi que du pouvoir d’adopter diverses mesures correctrices. Il importe de préciser, à cet égard, qu’elles sont tenues d’intervenir lorsque l’adoption de l’une ou de plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, de ce règlement est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance
constatée et garantir le plein respect dudit règlement [arrêt du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données), C‑768/21, EU:C:2024:785, point 42].
133 En outre, il est d’une importance particulière que les autorités de contrôle disposent de pouvoirs effectifs afin d’agir efficacement contre les violations du RGPD et, notamment, d’y mettre fin, y compris dans des cas où les personnes concernées ne sont pas informées du traitement de leurs données à caractère personnel, n’en ont pas connaissance ou n’ont, en tout état de cause, pas introduit une réclamation au titre de l’article 77, paragraphe 1, de ce règlement (voir, en ce sens, arrêt du
14 mars 2024, Újpesti Polgármesteri Hivatal, C‑46/23, EU:C:2024:239, point 41).
134 Ces autorités doivent, tout comme les juridictions nationales saisies d’un recours au titre de l’article 78, paragraphe 1, ou de l’article 79, paragraphe 1, du RGPD, s’assurer que les mesures techniques et organisationnelles retenues par le responsable du traitement sont appropriées afin de garantir un niveau de sécurité adapté au risque, comme le requiert l’article 32, paragraphe 1, de ce règlement, tout en examinant ces mesures de manière concrète sur le fond, au regard de tous les critères
mentionnés audit article ainsi que des circonstances propres au cas d’espèce et des éléments de preuve dont ces autorités ou ces juridictions disposent à ce sujet (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 43 et 45, ainsi que du 28 novembre 2024, Másdi, C‑169/23, EU:C:2024:988, point 71).
135 En revanche, les juridictions nationales qui ne sont pas saisies d’un recours au titre de l’article 78, paragraphe 1, ou de l’article 79, paragraphe 1, du RGPD ne sont pas, en l’absence de règles leur conférant explicitement des pouvoirs de contrôle, tenues de veiller au respect des dispositions matérielles de ce règlement afin d’assurer leur effet utile.
136 La juridiction de renvoi s’interrogeant notamment sur l’effectivité du recours juridictionnel prévu à l’article 79, paragraphe 1, du RGPD, il convient encore, afin de lui donner une réponse utile, de souligner que les États membres doivent s’assurer que les modalités concrètes d’exercice des voies de recours prévues à l’article 77, paragraphe 1, à l’article 78, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement répondent effectivement aux exigences découlant du droit à un recours
effectif consacré à l’article 47 de la Charte (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 51).
137 À cet effet, il importe que le responsable du traitement, à savoir l’organe judiciaire compétent auquel l’accès aux données à caractère personnel a été accordé, fournisse aux personnes dont les données sont concernées les informations énumérées à l’article 14, paragraphes 1 et 2, du RGPD, selon les modalités visées à l’article 12, paragraphe 1, et à l’article 14, paragraphe 3, de ce règlement, ces informations étant nécessaires pour permettre auxdites personnes d’exercer, le cas échéant, les
droits que leur confère ledit règlement, en particulier leur droit d’opposition au traitement de leurs données à caractère personnel, prévu à l’article 21 du RGPD, ainsi que leur droit de recours en cas de dommage subi, prévu aux articles 79 et 82 de ce règlement (voir, par analogie, arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 58 et jurisprudence citée).
138 Eu égard aux considérations qui précèdent, il convient de répondre à la sixième question que l’article 79, paragraphe 1, du RGPD, lu à la lumière de l’article 47 de la Charte, doit être interprété en ce sens qu’une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire n’est pas tenue, lorsqu’elle n’est pas saisie d’un recours au titre de cette disposition, d’assurer d’office la protection des personnes dont les données sont concernées
quant au respect des dispositions de ce règlement relatives à la sécurité des données à caractère personnel, y compris lorsqu’il est notoire que cet organe a commis, par le passé, une violation de ces dernières dispositions.
Sur les dépens
139 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (première chambre) dit pour droit :
1) L’article 19, paragraphe 1, second alinéa, TUE, lu à la lumière de l’article 47 de la charte des droits fondamentaux de l’Union européenne,
doit être interprété en ce sens que :
le principe d’indépendance des juges s’oppose à la pratique d’un État membre selon laquelle les membres d’un organe judiciaire de cet État membre, élus par le parlement de celui‑ci pour des mandats d’une durée déterminée et qui sont compétents pour contrôler l’activité des magistrats dans l’exercice de leurs fonctions, leur intégrité et l’absence de conflits d’intérêts dans le chef de ceux-ci ainsi que de proposer à un autre organe judiciaire l’ouverture d’une procédure disciplinaire en vue de
l’imposition de sanctions disciplinaires à leur égard, continuent à exercer leurs fonctions au-delà de la durée légale de leur mandat, fixée par la constitution dudit État membre, jusqu’à ce que ce parlement élise de nouveaux membres, sans que la prorogation des mandats échus repose sur une base légale explicite en droit national comportant des règles claires et précises de nature à encadrer l’exercice de ces fonctions et sans qu’il soit assuré que cette prorogation soit, en pratique, limitée
dans le temps.
2) L’article 2 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
la divulgation à un organe judiciaire de données à caractère personnel qui sont protégées par le secret bancaire et qui concernent des magistrats ainsi que les membres de leur famille, en vue de la vérification des déclarations de ces magistrats relatives à leur patrimoine ainsi qu’à celui des membres de leur famille, ces déclarations faisant l’objet d’une publication, constitue un traitement de données à caractère personnel qui relève du champ d’application matériel de ce règlement.
3) L’article 4, point 7, du règlement 2016/679
doit être interprété en ce sens que :
une juridiction compétente pour autoriser, sur demande d’un autre organe judiciaire, la divulgation par une banque à cet organe de données relatives aux comptes bancaires des magistrats ainsi que des membres de leur famille ne peut être qualifiée de responsable de ce traitement, au sens de cette disposition.
4) L’article 51 du règlement 2016/679
doit être interprété en ce sens que :
une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire ne constitue pas une autorité de contrôle, au sens de cet article, dans le cas où cette juridiction n’est pas chargée par l’État membre dont elle relève de surveiller l’application de ce règlement afin de protéger notamment les libertés et les droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel.
5) L’article 79, paragraphe 1, du règlement 2016/679, lu à la lumière de l’article 47 de la charte des droits fondamentaux,
doit être interprété en ce sens que :
une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire n’est pas tenue, lorsqu’elle n’est pas saisie d’un recours au titre de cette disposition, d’assurer d’office la protection des personnes dont les données sont concernées quant au respect des dispositions de ce règlement relatives à la sécurité des données à caractère personnel, y compris lorsqu’il est notoire que cet organe a commis, par le passé, une violation de ces dernières
dispositions.
Signatures
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
( *1 ) Langue de procédure : le bulgare.
