| Luxembourg, Tribunal administratif, 18 mars 2022, 45135

Tribunal administratif N° 45135 du rôle du Grand-Duché de Luxembourg Inscrit le 27 octobre 2020 4e chambre Audience publique du 18 mars 2022 Recours formé par Monsieur …, … (BG), contre une décision de l’autorité de contrôle judiciaire en matière de protection des données

JUGEMENT

Vu la requête, inscrite sous le numéro 45135 du rôle, déposée au greffe du tribunal administratif le 27 octobre 2020 par Maître Claire Leonelli, avocat à la Cour, inscrite au tableau de l’Ordre des avocats à Luxembourg, au nom de Monsieur …, entrepreneur, né le … à … (Bulgarie), demeurant à …, …, Bulgarie, élisant domicile en l’étude de son litismandataire, sise à L-1148 Luxembourg, 24, rue Jean l’Aveugle, tendant principalement à la réformation et subsidiairement à l’annulation d’une décision de l'autorité de contrôle judiciaire du 29 juillet 2020, portant rejet de sa réclamation du 31 mars 2020 contre le refus lui opposé en date du 19 mars 2020 par la cellule de renseignement financier luxembourgeoise à sa demande d'accès à des données à caractère personnel ;

Vu l’acte de l’huissier de justice suppléant Christine Kovelter, en remplacement de l’huissier de justice Frank Schaal, demeurant à Luxembourg, du 27 novembre 2020 portant signification de la prédite requête à l’autorité de contrôle judiciaire, dont les bureaux sont établis à L-2080 Luxembourg, Cité judiciaire, bâtiment CR ;

Vu le mémoire en réponse du délégué du gouvernement déposé au greffe du tribunal administratif en date du 21 janvier 2021 ;

Vu le mémoire en réplique déposé au greffe du tribunal administratif en date du 18 février 2021 par Maître Claire Leonelli pour compte de son mandant ;

Vu les pièces versées en cause et notamment la décision critiquée ;

Vu l’article 1er de la loi modifiée du 19 décembre 2020 portant adaptation temporaire de certaines modalités procédurales en matière civile et commerciale1 ;

Vu l’information de Maître Claire Denoual, en remplacement de Maître Claire Leonelli du 20 décembre 2021 marquant son accord à ce que l’affaire soit prise en délibéré sans sa présence ;

1 « Les affaires pendantes devant les juridictions administratives, soumises aux règles de la procédure écrite et en état d’être jugées, pourront être prises en délibéré sans comparution des mandataires avec l’accord de ces derniers. » Vu l’information de Madame le délégué du gouvernement Tara Desorbay du 3 janvier 2022 selon laquelle la partie gouvernementale se rapporte à ses écrits ;

Le juge-rapporteur entendu en son rapport à l’audience du 4 janvier 2022, les parties étant excusées.

___________________________________________________________________________

En date du 25 octobre 2019, Monsieur … adressa à la cellule de renseignement financier du Parquet du tribunal d’arrondissement de Luxembourg, dénommée ci-après « la CRF », une demande d'accès aux données à caractère personnel le concernant.

Cette demande, fondée sur l'article 13 de la loi modifiée du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale et à la sécurité nationale, dénommée ci-après « la loi du 1er août 2018 », fut rappelée par un courrier de son litismandataire à la CRF du 13 mars 2020 dans les termes suivants :

« (…) Monsieur … vous a adressé en date du 25 octobre 2019 une demande d'accès aux données personnelles le concernant traitées par la CRF. Copie de ladite demande d'accès est annexée au présent courrier.

Comme indiqué au sein de ce courrier, mon mandant est un ancien résident luxembourgeois, propriétaire et directeur non exécutif de l'établissement de monnaie électronique … S.A. (aujourd'hui … S.A.), qui était sous la surveillance de la CSSF de 2014 à 2016.

Mon mandant est référencé dans la base de données World-Check de la société Thomson Reuter suite à une déclaration publique effectuée par voie de presse faisant état d'une prétendue « investigation » faite à son encontre par la CRF en 2013 pour des faits présumés de blanchiment d'argent et de corruption. Mon mandant n'a toutefois jamais été poursuivi au Luxembourg ni ailleurs.

Ces accusations injustifiées portent bien évidemment un grave préjudice à mon mandant, tant sur le plan personnel que professionnel, et il est de la plus haute importance pour lui de réfuter leur véracité dans les plus brefs délais.

Ceci étant précisé, Monsieur … a sollicité de votre part, sur base de l'article 13 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale et à la sécurité nationale, que vous lui indiquiez si la CRF traite ou non des données à caractère personnel le concernant, et, le cas échéant, lui fournissiez une copie desdites données, sous une forme électronique couramment utilisée, ainsi que les informations suivantes :

-

les finalités du traitement ainsi que leur base juridique ;

-

les catégories de données à caractère personnel concernées et leur source ;

-

les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou des organisations internationales ;

-

la durée de conservation desdites données ou les critères utilisés pour déterminer cette durée. (…) ».

2Par un courrier du 19 mars 2020, la CRF prit position comme suit :

« (…) Je fais suite à votre courrier du 18 mars 2020.

La CRF peut vous communiquer les informations suivantes 1.

L'identité et les coordonnées du responsable de traitement Le responsable de traitement, au sens de l'article 2, 8° de la Loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu'en matière de sécurité nationale (ci-après : la Loi de 2018) est la Cellule de Renseignement Financier (ci-après : la CRF), autorité définie par l'article 74-1 de la loi modifiée du 7 mars 1980 sur l'organisation judiciaire (ci-après : la Loi sur l'organisation judiciaire).

La personne physique désignée en tant que responsable de traitement au sein de la CRF est le directeur actuellement en fonctions, en l'occurrence Monsieur …, magistrat, fonctionnaire d'Etat. Les coordonnées professionnelles du responsable de traitement sont : L-

2450 Luxembourg - 41 B boulevard Franklin D. Roosevelt, respectivement : …@justice.etat.lu.

2.

Les coordonnées du délégué à la protection des données Le délégué à la protection des données est Madame …, chargée d'études-

informaticienne, fonctionnaire d'Etat. Les coordonnées professionnelles du délégué à la protection des données sont : L-2450 Luxembourg, 41 B boulevard Franklin D. Roosevelt, respectivement : …@justice.etat.lu.

3. Finalité du traitement et base juridique Les finalités du traitement de données par la CRF peuvent être sous-divisées en finalités opérationnelles et stratégiques, conformément à l'article 74-1 de la Loi sur l'organisation judiciaire.

Les finalités de traitement opérationnelles :

- Recevoir et analyser les déclarations d'opérations suspectes et les autres informations concernant des faits suspects susceptibles de relever du blanchiment, des infractions sous-jacentes associées ou du financement du terrorisme (articles 74-1 et suivants de la Loi sur l'organisation judiciaire).

- Recevoir et analyser les informations reçues de CRF étrangères en application de l'article 74-5 de la Loi sur l'organisation judiciaire.

- Assurer la coopération nationale avec les autorités compétentes, conformément à l'article 74-4 de la Loi sur l'organisation judiciaire, à l'article 9-1 de la Loi du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme portant transposition de la directive 2001/97/CE du Parlement européen et du Conseil du 4 décembre 2001 modifiant la directive 91/308/CEE du Conseil relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux (ci-après : la Loi de 2004) et aux lois spéciales prévoyant une coopération entre services et autorités et la CRF.

3- Effectuer une dissémination sélective des informations traitées, de façon à permettre aux services et autorités récipiendaires de se concentrer sur les cas et informations pertinents pour l'accomplissement de leurs missions respectives.

- Assurer la coopération internationale avec les CRF étrangères, conformément aux articles 74-5 de la Loi sur l'organisation judiciaire et 53 et suivants de la Directive (UE) 2015/849 du Parlement Européen et du Conseil du 20 mai 2015 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n° 648/2012 du Parlement européen et du Conseil et abrogeant la directive 2005/60/CE du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (ci-après: la 4ème Directive).

- Disséminer les informations concluantes dans le cadre de la lutte contre le blanchiment et contre le financement du terrorisme, conformément aux textes précités.

- Evaluer la moralité et l'honorabilité de personnes en cas de demande d'une autorité compétente, en application des articles 74-4 et article 9-1 de la Loi de 2004.

Les finalités de traitement stratégiques :

- Etablir des statistiques fiables quant aux mesures préventives et répressives en matière de lutte contre le blanchiment et contre le financement du terrorisme.

- Identifier des risques, typologies et tendances en matière de lutte contre le blanchiment et contre le financement du terrorisme.

- Identifier les indicateurs à mettre en place par les professionnels soumis à la Loi de 2004 afin d'augmenter l'efficacité du dispositif de lutte contre le blanchiment et contre le financement du terrorisme.

- Coopérer avec les autorités nationales et internationales compétentes en la matière.

4. Limitation du droit d'accès aux données Conformément à l'article 14 de la Loi de 2018, le responsable du traitement a limité l'accès aux données tenues par la CRF pour :

a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;

b) éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;

c) protéger les droits et libertés d'autrui, notamment au regard des règles du non tipping-off, prévues par l'article 5 (5) de la Loi de 2004.

5. Possibilité d'introduire une réclamation Une réclamation peut être introduite contre la présente décision devant l'Autorité de contrôle judiciaire. Un formulaire pour introduire cette réclamation peut être trouvé sur le site Internet de la Justice (…). ».

En date du 31 mars 2020, Monsieur … fit introduire, par le biais de son litismandataire, une réclamation à l'encontre de la décision de la CRF du 19 mars 2020 devant l'autorité de contrôle judiciaire, dénommée ci-après « l'ACJ ».

Par décision du 29 juillet 2020 l'ACJ rejeta cette réclamation aux termes suivants :

4« (…) Concernant la réclamation de Monsieur … du 31 mars 2020, je vous prie de trouver ci-après la prise de position de l'Autorité de contrôle judiciaire (« ACJ »).

Par courrier entré au Parquet général en date du 1er avril 2020 et transmis au greffe de la Cour supérieure de Justice en date du 3 du même mois, l'Autorité de contrôle judiciaire a été saisie d'une réclamation datée du 31 mars 2020 signée de votre part pour compte de Monsieur …, plus amplement qualifié dans sa réclamation. Dans celle-ci, Monsieur … entend réclamer contre le fait que la Cellule de Renseignement Financier (ci-après la « CRF ») n'aurait pas donné suite à sa demande d'accès aux données personnelles le concernant (voir point 1), page 3 du formulaire de réclamation).

Il ressort des faits relatés à la page 5 du même formulaire que la CRF aurait refusé, sur demande réitérée du réclamant, de fournir à ce dernier tous les renseignements sur des données le concernant qu'elle traiterait éventuellement, en se basant sur l'article 14 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale ainsi qu'en matière de sécurité nationale.

D'après les pièces annexées audit formulaire, la position de la CRF se serait matérialisée dans un courrier du 19 mars 2020.

La disposition légale en question se lit comme suit :

« Art. 14. (1) Le responsable du traitement peut limiter, entièrement ou partiellement, le droit d'accès de la personne concernée, dès lors et aussi longtemps qu'une telle limitation partielle ou complète constitue une mesure nécessaire et proportionnée dans une société démocratique, eu égard à la finalité du traitement concerné, et en tenant dûment compte des droits fondamentaux et des intérêts légitimes de la personne physique concernée, pour :

a) éviter de gêner des enquêtes, des recherches ou des procédures officielles ou judiciaires ;

b) éviter de nuire à la prévention ou à la détection d'infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales ;

c) protéger la sécurité publique ;

d) protéger la sécurité nationale et la défense nationale ; ou e) protéger les droits et libertés d'autrui.

(2) Dans les cas visés au paragraphe 1er, le responsable du traitement informe la personne concernée par écrit, dans les meilleurs délais, de tout refus ou de toute limitation d'accès, ainsi que des motifs du refus ou de la limitation. Ces informations peuvent ne pas être fournies lorsque leur communication risque de compromettre l'un des objectifs énoncés au paragraphe 1er. Le responsable du traitement informe la personne concernée des possibilités d'introduire une réclamation auprès de l'autorité de contrôle compétente ou de former un recours juridictionnel.

(3) Le responsable du traitement consigne les motifs de fait ou de droit sur lesquels se fonde la décision. Ces informations sont mises à la disposition de l'autorité de contrôle compétente. ».

La loi du 1er août 2018, précitée, est applicable à la CRF en vertu de son article 1er, (2), lettre e) « dans l'exécution de ses missions légales » telles que définies par la loi modifiée du 7 mars 1980 sur l'organisation judiciaire. Depuis la loi du 1er août 2018 modifiant, parmi 5d'autres textes légaux, la loi sur l'organisation judiciaire, la mission de la CRF, définie à l'article 74-2 de ladite loi, comporte notamment les missions - de recevoir et d'analyser les déclarations d'opérations suspectes et les autres informations concernant des faits suspects susceptibles de relever du blanchiment, des infractions sous-jacentes associées ou du financement du terrorisme, et - de disséminer, spontanément et sur demande, aux autorités compétentes et aux autorités judiciaires le résultat de ses analyses ainsi que toute autre information pertinente, lorsqu'il existe des motifs raisonnables de suspecter un blanchiment, une infraction sous-jacente associée ou un financement du terrorisme.

L'ACJ estime que les données collectées, le cas échéant, concernant le réclamant par la CRF dans l'exécution des missions pré-rappelées sont susceptibles de faire partie des données visées aux lettres a) et b) du 1er paragraphe de l'article 14 de la loi précitée du 1er août 2018, de telle sorte que la CRF a pu légalement opposer au requérant un refus d'accès.

Il découle par ailleurs des documents transmis à l'appui de la réclamation, et notamment du courrier de la CRF du 19 mars 2020 au conseil du requérant, que les conditions de forme inscrites au deuxième alinéa dudit article 14 ont été respectées par la CRF.

Enfin, l'ACJ constate l'existence de motifs de fait et de droit à la base de la décision de la CRF en application du paragraphe 3 du même article dans le cadre de la réclamation sous référence.

L'ACJ conclut partant au respect par la CRF des conditions légales permettant au responsable des données d'opposer à une personne physique une limitation à son droit d'accès aux données personnelles traitées par lui.

L'article 42 de la prédite loi du 1er août 2020 prévoit que l'ACJ, dans les limites de ses compétences, et pour autant que le traitement en question relève des traitements dont il peut connaître, peut, notamment, vérifier la licéité du traitement en vertu de l'article 16 de la même loi et informer la personne concernée de l'issue de la vérification ou des motifs ayant empêché la réalisation de celle-ci.

L'article 16, précité, permet l'exercice du droit d'accès d'une personne physique, au cas où un accès direct n'est pas possible, au travers de l'ACJ, qui procède alors aux vérifications qu'elle juge nécessaires pour vérifier le respect de la loi.

Au vu de la conformité à l'ordonnancement juridique pertinent du refus opposé par la CRF à l'exercice du droit d'accès direct par le réclamant, l'ACJ a procédé sur base dudit article 16 aux vérifications et examens utiles pour constater la licéité du traitement de données personnelles du réclamant et n'a pas relevé d'éléments faisant apparaître un traitement contraire à la loi du 1er août 2018, précitée.

Contre la présente décision, un recours juridictionnel est possible au travers d'un recours devant le tribunal administratif à interjeter par ministère d'avocat à la Cour dans les trois mois de la date de sa notification. (…) ».

6Par requête déposée au greffe du tribunal administratif le 27 octobre 2020, inscrite sous le numéro 45135 du rôle, Monsieur … a fait introduire un recours tendant à la réformation, sinon à l’annulation de la décision précitée de l’ACJ du 29 juillet 2020.

Dans son mémoire en réponse, le délégué du gouvernement soulève, à titre liminaire, l’incompétence du tribunal administratif pour statuer sur le recours sous examen au motif qu’une décision prise par l'ACJ concernant un traitement de données à caractère personnel effectué dans le cadre des juridictions de l'ordre judiciaire ou du ministère public relèverait de la sphère de compétence de l'ordre judiciaire, du fait de relever du régime spécial de la loi du 1er août 2018 et non pas du régime général du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), dénommé ci-après « RGPD ».

Le délégué du gouvernement souligne, dans ce contexte, que depuis la réforme de cette matière intervenue en 2018 dans le cadre de l'Union européenne, deux régimes distincts existeraient dans les Etats membres de l'Union européenne, à savoir, d’un côté, le régime dit « général », dont les dispositions seraient prévues par le RGPD et, d’un autre côté, le régime « spécial » établi par la directive (UE) n° 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, ci-après désignée « directive (UE) n° 2016/680 », qui aurait été transposée en droit luxembourgeois par la loi du 1er août 2018, applicable aux traitements de données à caractère personnel effectués par la CRF en tant que responsable du traitement aux termes de son article 1er, paragraphe 2, point e).

En application de l'article 44, paragraphe 3 de la loi du 1er août 2018, les réclamations contre une décision du responsable du traitement, en l'occurrence la CRF, seraient de la compétence de l’ACJ, créée par l'article 40, paragraphe 1er de la même loi, dont les décisions pourraient faire l’objet d’un recours juridictionnel devant une juridiction indépendante au sens des articles 84 à 95ter de la Constitution Or, afin de respecter la dualité de régimes existants en matière de la protection des données à caractère personnel, l'article 45 de la loi du 1er août 2018 opèrerait une distinction entre les juridictions de l'ordre judiciaire et celles de l'ordre administratif en ce qui concerne leur compétence.

Ainsi, aux termes de l'article 45, paragraphe 1er de la loi du 1er août 2018, une juridiction de l'ordre judiciaire, en l'occurrence la chambre du conseil de la Cour d'appel, serait compétente pour toiser les recours contre les décisions prises par l’ACJ sur base de l'article 44, paragraphe 3, de cette loi, alors qu’aux termes de l'article 45, paragraphe 2 de cette même loi, ce serait le tribunal administratif qui serait compétent pour statuer sur les recours contre, d’un côté, les décisions prises par la Commission nationale pour la protection des données et, de l’autre côté, les décisions prises par l'ACJ, mais uniquement lorsque cette dernière aurait pris une décision dans le cadre de ces compétences relevant du régime général du RGPD.

Le délégué du gouvernement cite encore des extraits des travaux parlementaires relatifs au projet de loi n° 7168, et notamment le commentaire relatif à l'article 46, devenu au cours 7des travaux parlementaires l'article 45 de la loi du 1er août 2018, qui aurait notamment souligné qu’aux termes du 2e paragraphe de l’article en question la personne concernée disposerait d'un recours devant les juridictions administratives, conformément au droit commun de la procédure administrative contentieuse, dans deux hypothèses, à savoir (i) lorsque l'autorité de contrôle compétente ayant pris la décision attaquée serait de toute façon la Commission nationale pour la protection des données, et (ii) lorsque la décision attaquée aurait été prise par l'ACJ à l'égard d'un traitement de données à caractère personnel relevant du champ d'application du règlement (UE) n° 2016/679 et non pas du champ d'application de la future loi transposant la directive (UE) n° 2016/680.

Le même commentaire aurait relevé que si cet agencement procédural ne serait pas tout à fait évident à première vue, il conviendrait cependant de tenir compte du fait que le Luxembourg disposerait de deux ordres juridictionnels, l'ordre judiciaire et l'ordre administratif, et qu'il conviendrait de respecter les sphères de compétence de ces deux ordres.

Ainsi, le fait que la loi en projet proposerait de ne prévoir qu'une seule ACJ, commune aux deux ordres juridictionnels, ne signifierait pas que les sphères de compétence des deux ordres juridictionnels devraient être méconnues, de sorte que si la personne concernée voudrait faire un recours contre une décision prise par l'ACJ commune aux deux ordres juridictionnels concernant un traitement de données à caractère personnel effectué dans le cadre des juridictions de l'ordre judiciaire ou du ministère public, ce recours devrait rester dans la sphère de compétence de l'ordre judiciaire. De la même façon, si la personne concernée voudrait faire un recours contre une décision prise par l’ACJ commune concernant un traitement de données à caractère personnel effectué dans le cadre des compétences des juridictions de l'ordre administratif, ce recours devrait rester dans la sphère de compétence dudit ordre.

Le délégué du gouvernement relève finalement que Monsieur … serait d’ailleurs conscient de l’incompétence du tribunal administratif, alors qu'il aurait lui-même souligné, dans sa requête introductive d'instance, qu’il aurait également saisi la chambre du conseil de la Cour d'appel en date du 28 août 2020, de sorte qu’il serait surprenant que ce dernier conclurait néanmoins à la compétence du tribunal administratif en la matière. En tout état de cause, l'indication d'une voie de recours erronée de la part de l'entité ayant pris la décision déférée ne saurait déroger aux règles de compétence juridictionnelles qui seraient d'ordre public.

Pour le surplus, le délégué du gouvernement se rapporte à prudence de justice quant à la recevabilité du recours quant aux délais et quant à la forme en soulignant qu’aux termes de l'article 45, paragraphe 2, de la loi du 1er août 2018, le tribunal administratif statuerait uniquement comme juge du fond lorsque le traitement de données à caractère personnel en cause relèverait du champ d'application du régime général du RGPD, ce qui ne serait pas le cas en l'espèce, de sorte que le recours principal en réformation serait de toute façon irrecevable.

Dans sa requête introductive d’instance, Monsieur … donne d’abord à considérer qu’il aurait également introduit en date du 28 août 2020 un recours devant la chambre du conseil de la Cour d'appel selon les dispositions de l'article 45 paragraphe 1 de la loi du 1er août 2018 afin de ne pas se retrouver forclos si le présent recours devrait être déclaré irrecevable. Le recours devant la chambre du conseil de la Cour d’appel serait actuellement suspendu dans l'attente de la décision à intervenir dans le cadre du présent recours.

Il explique ensuite que le présent recours serait fondé sur l'article 45 paragraphe 2 de la loi du 1er août 2018, intitulé « Droit à un recours juridictionnel contre une décision de l'autorité de contrôle », lequel préciserait que la personne concernée pourrait introduire un recours 8devant le tribunal administratif qui statue comme juge du fond contre les décisions prises par la Commission nationale pour la protection des données sur base de l'article 44, paragraphe 1er de la loi du 1er août 2018 et contre les décisions prises par l'ACJ sur base de l'article 44, paragraphe 3 de la même loi, lorsque le traitement de données à caractère personnel visé par la réclamation relèverait du champ d'application du RGPD, tandis que le paragraphe 1er de ce même article préciserait que contre les décisions prises par l'ACJ en application de l'article 44, paragraphe 3 de la même loi, lorsque le traitement de données à caractère personnel visé par la réclamation relèverait du champ d'application de la loi du 1er août 2018, un recours juridictionnel pourrait être introduit par la personne concernée devant la chambre du conseil de la Cour d'appel.

Il fait également plaider que l’article 45 de la loi du 1er août 2018 prévoirait deux voies de recours s'articulant autour de la nature du traitement de données à caractère personnel concerné par le recours :

· soit il s'agirait d'un recours contre une décision prise par l'ACJ dans le cadre d'un traitement effectué dans le contexte de l'exercice d'une fonction juridictionnelle et entrant dans le champ d'application de la loi du 1er août 2018, auquel cas le recours serait à introduire auprès de la chambre du conseil de la Cour d'appel ;

· soit il s'agirait d'un recours contre une décision prise par l'ACJ en relation avec un traitement effectué dans une matière régie par le RGPD, auquel cas le recours serait à porter devant le tribunal administratif qui statuera comme juge du fond.

Alors même qu’en l'espèce, tant la CRF que l'ACJ se seraient exclusivement fondées sur la loi du 1er août 2018 et non sur le RGPD dans leur analyse du bien-fondé de sa demande d'accès aux données, l'ACJ aurait toutefois indiqué dans la décision déférée qu'« un recours juridictionnel est possible au travers d'un recours devant le tribunal administratif à interjeter par Ministère d'avocat à la Cour dans les trois mois de la date de la notification de ladite décision », de sorte que le présent recours en réformation, subsidiairement en annulation, de cette décision serait à déclarer recevable.

Dans son mémoire en réplique, Monsieur … indique se rapporter à prudence de justice concernant la compétence du tribunal administratif de connaître du présent litige.

Il se rapporte également à prudence de justice concernant la recevabilité du présent recours.

II donne finalement à considérer qu’indépendamment du traitement de ses données personnelles que la CRF serait susceptible d'effectuer dans le cadre d'une enquête dont il ferait l'objet, celle-ci traiterait nécessairement ses données personnelles en sa qualité de signataire de plusieurs déclarations de soupçon, faites en sa qualité de directeur de la société luxembourgeoise … SA, devenue … SA, de sorte que son recours devrait à tout le moins être fondé à l'égard des traitements subséquents de ces données personnelles qui ne relèveraient pas d'une fonction juridictionnelle de la CRF.

Force est d’abord au tribunal de relever, à titre liminaire, qu’il est constant en cause que la demande de Monsieur … adressée à la CRF « sur base de l'article 13 de la loi du 1er août 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel en matière pénale et à la sécurité nationale » concernait exclusivement une éventuelle « « investigation » faite à son encontre par la CRF en 2013 pour des faits présumés de blanchiment d'argent et de corruption ». Ainsi, son affirmation, dans le cadre de 9son mémoire en réplique, selon lequel la CRF traiterait nécessairement également ses données personnelles en sa qualité de signataire de plusieurs déclarations de soupçon, faites en tant que directeur de la société luxembourgeoise … SA, devenue … SA, de sorte que son recours devrait à tout le moins être fondé à l'égard des traitements subséquents de ces données personnelles qui ne relèveraient pas d'une fonction juridictionnelle de la CRF, n’est d’aucune pertinence en l’espèce, pour ne pas concerner l’objet du litige, alors que la décision déférée de l’ACJ n’a pas statué par rapport à une telle demande.

Aux termes de l’article 1er de la loi du 1er août 2018, intitulé « Objet et champ d’application », « (1) La présente loi s’applique aux traitements de données à caractère personnel mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci-

après dénommés « autorité compétente ».

(2) La présente loi s'applique également aux traitements de données à caractère personnel effectués :

(…) e) par la Cellule de renseignement financier dans l’exécution de ses missions prévues aux articles 74-1 à 74-6 de la loi modifiée du 7 mars 1980 sur l’organisation judiciaire, (…) ».

Il est constant en cause que Monsieur … a déféré le courrier lui adressé par la CRF en date du 19 mars 2020 par voie de réclamation auprès de l’ACJ en application de l’article 44, paragraphe (3) de la loi du 1er août 2018, disposant que « (3) Pour toutes les réclamations contre des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles qui ne peuvent être traitées conformément au paragraphe 2, la personne concernée peut saisir l’autorité de contrôle judiciaire. », étant donné qu’il ne ressort d’aucun élément du dossier que Monsieur … serait partie à un litige dans le cadre duquel la juridiction compétente aurait pu traiter sa réclamation comme incident de procédure en application du paragraphe (2) de l’article 44 de ladite loi2.

Il s’ensuit qu’en application de l’article 45 de la loi du 1er août 2018, concernant le « Droit à un recours juridictionnel contre une décision de l’autorité de contrôle », « (1) Contre les décisions prises par l’autorité de contrôle judiciaire en application de l’article 44, paragraphe 3, lorsque le traitement de données à caractère personnel visé par la réclamation relève du champ d’application de la présente loi, un recours juridictionnel peut être introduit par la personne concernée devant la chambre du conseil de la cour d’appel. (…) ».

C’est dès lors à bon droit que la partie gouvernementale a relevé que la juridiction compétente pour connaître du présent litige est bien la chambre du conseil de la Cour d’appel, alors qu’il n’est pas contesté que le traitement de données à caractère personnel visé par la réclamation litigieuse relève bien du champ d’application de la loi du 1er août 2018, en l’occurrence, un éventuel traitement de données à caractère personnel effectués par la CRF 2 « (2) Par dérogation au paragraphe 1er, les réclamations contre des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles sont traitées comme incident de procédure devant la juridiction qui est compétente pour statuer sur le litige auquel la personne concernée est partie, conformément aux dispositions procédurales applicables au litige concerné. » 10dans l’exécution de sa mission consistant à recevoir et à analyser les déclarations d’opérations suspectes et les autres informations concernant des faits suspects susceptibles de relever du blanchiment, des infractions sous-jacentes associées ou du financement du terrorisme, au sens de l’article 74-2 de la loi modifiée du 7 mars 1980 sur l’organisation judiciaire.

Il s’ensuit dès lors que le tribunal administratif n’est effectivement pas compétent pour connaître du présent litige, sa compétence étant limitée par l’article 45 de la loi du 1er août 2018 à connaître des recours « (2) Contre les décisions prises par la Commission nationale pour la protection des données sur base de l’article 44, paragraphe 1er, et contre les décisions prises par l’autorité de contrôle judiciaire sur base de l’article 44, paragraphe 3, lorsque le traitement de données à caractère personnel visé par la réclamation relève du champ d’application du règlement (UE) n° 2016/679, », ce qui n’est clairement pas le cas en l’espèce au vu des considérations qui précèdent.

Cette conclusion n’est pas énervée par la circonstance que l’ACJ a, en vertu du paragraphe (5) de l’article 44 de la loi du 1er août 2018, erronément informé Monsieur … de la possibilité d'un recours juridictionnel devant le tribunal administratif, alors que, tel que relevé à bon escient par la partie gouvernementale, la compétence ratione materiae des juridictions est une question d’ordre public à laquelle il n’est pas possible de déroger, étant relevé qu’il a encore été jugé qu’à défaut d'existence d'une voie de recours légalement prévue, la simple indication erronée dans un acte administratif de voies de recours, ne saurait être de nature à créer un droit y relatif3.

Le tribunal est partant incompétent pour connaître du présent recours.

Etant donné que Monsieur … a cependant été induit en erreur par l’indication erronée des voies de recours figurant dans l’acte déféré, les frais et dépens de la présente instance, non autrement contestés, sont à supporter par la partie gouvernementale et ce, malgré le fait que le présent jugement a fait droit à ses conclusions.

Pour les mêmes motifs, la demande en allocation d’une indemnité de procédure telle que réclamée par Monsieur … sur base de l’article 33 de la loi modifiée du 21 juin 1999 portant règlement de procédure devant les juridictions administratives est à accueillir pour un montant fixé ex aequo et bono à 500,- euros.

Par ces motifs, le tribunal administratif, quatrième chambre, statuant contradictoirement ;

se déclare incompétent pour connaître du recours dirigé contre la décision de l’autorité de contrôle judiciaire du 29 juillet 2020 ;

condamne l’Etat du Grand-Duché de Luxembourg à payer à Monsieur … une indemnité de procédure de 500,- euros ;

condamne l’Etat du Grand-Duché de Luxembourg aux frais et dépens de l’instance.

3 En ce sens : trib. adm. 3 avril 1997, n° 9753 du rôle, Pas. adm. 2021, V° Procedure administrative non contentieuse, n° 260 et les autres références y citées.

11Ainsi jugé et prononcé à l’audience publique du 18 mars 2022 par :

Paul Nourissier, vice-président, Olivier Poos, premier juge, Emilie Da Cruz De Sousa, juge, en présence du greffier Marc Warken.

s.Marc Warken s.Paul Nourissier Reproduction certifiée conforme à l’original Luxembourg, le 18 mars 2022 Le greffier du tribunal administratif 12