–

pour la Nemzeti Adatvédelmi és Információszabadság Hatóság, par Me G. J. Dudás, ügyvéd,

–

pour UC, par Mes D. Karsai et V. Łuszcz, ügyvédek,

–

pour le gouvernement hongrois, par Mme Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,

–

pour le gouvernement tchèque, par Mme L. Březinová, MM. M. Smolek et J. Vláčil, en qualité d’agents,

–

pour la Commission européenne, par MM. A. Bouchagiar, C. Kovács et H. Kranenborg, en qualité d’agents,

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 14, paragraphes 1 et 5, sous c), de l’article 32 ainsi que de l’article 77, paragraphe 1, du règlement (UE) 2016/679du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorité nationale de la protection des données et la liberté de l’information, Hongrie) (ci-après l’« autorité nationale ») à UC au sujet de l’existence d’une obligation d’information concernant le traitement des données à caractère personnel dans le chef du Budapest Főváros Kormányhivatala (bureau gouvernemental de Budapest-Capitale, Hongrie) (ci‑après l’« administration de délivrance »), chargé de délivrer des certificats d’immunité aux personnes vaccinées contre la COVID-19 ou ayant contracté cette maladie.

3

Aux termes des considérants 1, 10 et 61 à 63 du RGPD :

[...]

[...]

4

L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5

L’article 4 dudit règlement, intitulé « Définitions », énonce :

« Aux fins du présent règlement, on entend par :

[...]

[...] »

6

L’article 6 du RGPD, intitulé « Licéité du traitement », prévoit, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[...]

[...]

[...] »

7

L’article 9 de ce règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose, à ses paragraphes 1 et 2 :

« 1.   Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2.   Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

[...]

[...] »

8

Le chapitre III du RGPD, intitulé « Droits de la personne concernée », comporte plusieurs sections, parmi lesquelles la section 2 de celui-ci, intitulée « Information et accès aux données à caractère personnel ».

9

Dans cette section 2, figurent l’article 13, relatif aux « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », l’article 14, relatif aux « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », et l’article 15, relatif au « Droit d’accès de la personne concernée », du RGPD.

10

Aux termes de l’article 14 de ce règlement :

« 1.   Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

2.   En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée :

[...]

4.   Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5.   Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

11

L’article 32 dudit règlement, intitulé « Sécurité du traitement », est libellé comme suit :

« 1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3.   L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4.   Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre. »

12

L’article 55 du même règlement, intitulé « Compétence », dispose, à son paragraphe 1 :

« Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève. »

13

L’article 57 du RGPD, intitulé « Missions », prévoit, à son paragraphe 1 :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

[...]

[...] »

14

L’article 58 de ce règlement, intitulé « Pouvoirs », dispose, à son paragraphe 3 :

« Chaque autorité de contrôle dispose de tous les pouvoirs d’autorisation et de tous les pouvoirs consultatifs suivants :

[...]

[...] »

15

L’article 77 dudit règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

16

L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », est libellé comme suit :

« 1.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

3.   Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.

4.   Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée. »

17

L’article 10 du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 (JO 2021, L 211, p. 1), intitulé « Protection des données à caractère personnel », prévoyait, à son paragraphe 1 :

« Le [RGPD] s’applique au traitement de données à caractère personnel effectué dans le cadre de la mise en œuvre du présent règlement. »

18

Aux termes de l’article 2, paragraphe 1, de l’a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [décret gouvernemental no 60/2021 (II.12.), relatif au certificat d’immunité contre le coronavirus], du 12 février 2021, dans sa version applicable au litige au principal (ci-après le « décret no 60/2021 ») :

« Le certificat d’immunité inclut :

19

Conformément à l’article 2, paragraphes 6 et 7, du décret no 60/2021, le certificat d’immunité est délivré, à toute personne physique habilitée à le recevoir, par l’administration de délivrance soit d’office, soit sur demande.

20

L’article 3, paragraphe 3, de ce décret dispose :

« Par transmission automatique d’informations, le cas échéant par le biais des services du répertoire électronique combiné des données d’identification, l’administration de délivrance – dans le cas visé à l’article 2, paragraphe 6, sous c) et d) – reprend :

21

UC, une personne physique, s’est vu délivrer par l’administration de délivrance un certificat d’immunité attestant sa vaccination contre la COVID-19, en application du décret no 60/2021.

22

Le 30 avril 2021, UC a engagé une procédure administrative relative au traitement des données à caractère personnel le concernant, en introduisant, auprès de l’autorité nationale, une réclamation sur la base de l’article 77, paragraphe 1, du RGPD, afin qu’il soit ordonné à l’administration de délivrance de mettre ses opérations de traitement en conformité avec les dispositions du RGPD. Dans sa réclamation, il a, notamment, reproché à l’administration de délivrance de ne pas avoir rédigé et publié de déclaration relative à la protection des données à caractère personnel afférentes à la délivrance des certificats d’immunité et fait valoir qu’il n’y avait pas d’informations sur la finalité et la base juridique du traitement de ces données ni sur les droits de la personne concernée et la manière dont ils peuvent être exercés.

23

Dans le cadre de la procédure engagée sur la base de cette réclamation, l’administration de délivrance a déclaré qu’elle exécutait ses tâches liées à la délivrance du certificat d’immunité sur le fondement de l’article 2 du décret no 60/2021, le traitement des données à caractère personnel ayant pour fondement juridique l’article 6, paragraphe 1, sous e), du RGPD et l’article 9, paragraphe 2, sous i), de ce règlement, pour ce qui concerne le traitement des données à caractère personnel relevant de catégories particulières.

24

En outre, l’administration de délivrance a indiqué qu’elle obtenait les données à caractère personnel qu’elle traitait auprès d’un autre organisme, conformément aux dispositions du décret no 60/2021. Sur cette base, elle a affirmé que, en vertu de l’article 14, paragraphe 5, sous c), du RGPD, elle n’était pas tenue de fournir des informations sur le traitement de ces données. Elle a néanmoins rédigé et publié sur son site Internet la déclaration de protection des données à caractère personnel demandée.

25

Par décision du 15 novembre 2021, l’autorité nationale a rejeté la demande de UC et conclu à l’absence d’obligation d’information de l’administration de délivrance, au motif que le traitement de données à caractère personnel concerné relevait de l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD.

26

En particulier, cette autorité a considéré que le décret no 60/2021 constituait le fondement juridique du traitement et que celui-ci imposait expressément à l’administration de délivrance de collecter les données en cause. Selon ladite autorité, la publication des informations sur le traitement des données à caractère personnel par l’administration de délivrance, sur son site Internet, était constitutive d’une bonne pratique et non d’une obligation légale.

27

En outre, l’autorité nationale a examiné d’office s’il existait des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, au sens de l’article 14, paragraphe 5, sous c), second membre de phrase, du RGPD, et a estimé que devaient être considérées comme telles les dispositions des articles 2, 3 et 5 à 7 du décret no 60/2021.

28

UC a introduit un recours administratif contre cette décision devant la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), qui a annulé ladite décision et a ordonné à cette autorité d’engager une nouvelle procédure.

29

Dans son arrêt, cette juridiction a considéré que l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD n’était pas applicable, car certaines données à caractère personnel produites en lien avec les certificats d’immunité n’étaient pas obtenues par le responsable du traitement auprès d’un autre organisme, mais étaient générées par ce responsable lui-même, dans le cadre de l’exercice de ses missions. Tel était le cas, selon ladite juridiction, du numéro de série du certificat d’immunité, de la date d’expiration du certificat délivré à une personne qui a contracté la maladie, du code QR figurant sur la carte, du code‑barres et des autres codes alphanumériques figurant sur la lettre de remise du certificat ainsi que des données à caractère personnel générées par le processus de gestion des dossiers du responsable du traitement. De l’avis de la même juridiction, seules les données à caractère personnel obtenues auprès d’un autre organisme étaient susceptibles de relever de l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD.

30

L’autorité nationale a saisi la Kúria (Cour suprême, Hongrie), qui est la juridiction de renvoi, d’un recours extraordinaire contre cet arrêt.

31

C’est dans ce contexte que cette juridiction s’interroge, tout d’abord, sur le point de savoir si l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD est susceptible de s’appliquer à tous les traitements de données à caractère personnel à l’exclusion de ceux qui portent sur des données à caractère personnel collectées auprès de la personne concernée.

32

Dans l’affirmative, ladite juridiction se demande si, dans le cadre d’une procédure de réclamation au titre de l’article 77, paragraphe 1, du RGPD, l’autorité de contrôle est compétente pour vérifier, en vue de se prononcer sur l’applicabilité de cette exception, si le droit national du responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée.

33

Dans l’affirmative, la juridiction de renvoi souhaite savoir, enfin, si cette vérification porte également sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 du RGPD, afin de garantir la sécurité des traitements de données à caractère personnel.

34

Dans ces conditions, la Kúria (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

35

Le 16 janvier 2024, la Cour a invité les parties et intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne à répondre à certaines questions par écrit, en application de l’article 61 du règlement de procédure de la Cour. Les parties requérante et défenderesse au principal, les gouvernements hongrois et tchèque ainsi que la Commission européenne ont répondu à ces questions.

36

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne uniquement les données à caractère personnel que le responsable du traitement a collectées auprès d’une personne autre que la personne concernée ou si elle concerne également les données à caractère personnel que ce responsable a générées lui-même, dans le cadre de l’exercice de ses missions.

37

L’article 14, paragraphes 1, 2 et 4, de ce règlement détermine les informations que le responsable du traitement est obligé de fournir à la personne concernée, au sens de l’article 4, point 1, dudit règlement, lorsque les données à caractère personnel n’ont pas été collectées auprès de cette personne.

38

L’article 14, paragraphe 5, du même règlement énonce des exceptions à cette obligation. Parmi ces exceptions, le point c) de ce paragraphe 5 prévoit que ladite obligation ne s’applique pas lorsque et dans la mesure où l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

39

Afin de déterminer si cette exception couvre les données à caractère personnel générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions, à partir de données obtenues auprès d’une personne autre que la personne concernée, il y a lieu, en application d’une jurisprudence constante, de tenir compte non seulement des termes de la disposition qui la prévoit, mais également du contexte de cette disposition et des objectifs poursuivis par la réglementation dont elle fait partie (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 32 et jurisprudence citée).

40

En premier lieu, il convient de déterminer, au vu du libellé de l’article 14, paragraphe 5, sous c), du RGPD, l’objet de « l’obtention ou la communication » visé à cette disposition.

41

Il existe, en effet, premièrement, une divergence entre les différentes versions linguistiques de ladite disposition. La version en langue française de la même disposition fait référence à l’obtention ou à la communication des « informations », alors que, tout d’abord, les versions en langues hongroise (« adat »), estonienne (« isikuandmed »), croate (« podataka »), lituanienne (« duomenų »), néerlandaise (« gegevens »), portugaise (« dados ») roumaine (« datelor ») ainsi que suédoise (« uppgifter ») font référence à l’obtention ou à la communication des « données », ensuite, la version en langue finnoise contient un terme (« tietojen ») susceptible de viser à la fois des « données » ou des « informations » et, enfin, les versions en langues bulgare, espagnole, tchèque, danoise, allemande, grecque, anglaise, italienne, lettonne, maltaise, polonaise, slovaque et slovène ne mentionnent pas l’objet de l’obtention ou de la communication.

42

Or, conformément à une jurisprudence également constante, la formulation utilisée dans l’une des versions linguistiques d’une disposition du droit de l’Union ne saurait servir de base unique à l’interprétation de cette disposition ou se voir attribuer un caractère prioritaire par rapport aux autres versions linguistiques. Les dispositions du droit de l’Union doivent en effet être interprétées et appliquées de manière uniforme, à la lumière des versions établies dans toutes les langues de l’Union. En cas de disparités entre les diverses versions linguistiques d’un texte du droit de l’Union, la disposition en cause doit être interprétée en fonction de l’économie générale et de la finalité de la réglementation dont elle constitue un élément (arrêt du 21 mars 2024, Cobult, C‑76/23, EU:C:2024:253, point 25 et jurisprudence citée).

43

S’agissant de l’économie générale du RGPD, il convient de lire l’article 14, paragraphe 5, de ce règlement à la lumière des considérants 61 et 62 de celui-ci, qui font référence, d’une part, aux « données à caractère personnel [...] obtenues [et les] données à caractère personnel [...] communiquées » ainsi qu’à « l’enregistrement ou la communication des données à caractère personnel [...] expressément prévu par la loi » et, d’autre part, aux « informations [...] fournies » ou « à fournir ». L’interprétation selon laquelle « l’obtention ou la communication », au sens de l’article 14, paragraphe 5, sous c), du RGPD, visent des données à caractère personnel est en outre confirmée par la portée large de la notion de « traitement », au sens de l’article 4, point 2, du RGPD, qui couvre toute opération appliquée à des données à caractère personnel [voir, en ce sens, arrêt du 5 octobre 2023, Ministerstvo zdravotnictví (Application mobile Covid-19), C‑659/22, EU:C:2023:745, point 27 et jurisprudence citée].

44

S’agissant de la finalité de la réglementation dont l’article 14, paragraphe 5, sous c), du RGPD fait partie, il suffit d’observer, à l’instar de Mme l’avocate générale au point 31 de ses conclusions, que la ratio legis de cette exception réside dans le fait que l’obligation d’information de la personne concernée imposée par l’article 14, paragraphes 1, 2 et 4, de ce règlement ne se justifie pas lorsqu’une autre disposition du droit de l’Union ou du droit d’un État membre impose, de manière suffisamment complète et contraignante, au responsable du traitement de fournir, à cette personne, des informations relatives à l’obtention ou à la communication des données à caractère personnel. En effet, dans l’hypothèse relevant de cet article 14, paragraphe 5, sous c), les personnes concernées doivent avoir une connaissance suffisante des modalités et finalités de l’obtention ou de la communication de ces données.

45

En conséquence, il y a lieu de considérer, au regard du libellé de l’article 14, paragraphe 5, sous c), du RGPD dans l’ensemble de ses versions linguistiques, que cette disposition doit être comprise comme se référant à l’obtention ou à la communication des données à caractère personnel.

46

Deuxièmement, il convient de constater que le libellé de l’article 14, paragraphe 5, sous c), du RGPD ne limite pas l’exception qu’il prévoit aux seules données à caractère personnel obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée, pas plus qu’il n’exclut les données qui ont été générées par le responsable du traitement lui‑même, dans le cadre de l’exercice de ses missions, à partir de telles données.

47

Il s’ensuit que les données à caractère personnel qui ont fait l’objet d’une « obtention », au sens de ladite disposition, par le responsable du traitement sont toutes celles que ce dernier collecte auprès d’une personne autre que la personne concernée et celles qu’il a lui-même générées, dans le cadre de l’exercice de sa mission, à partir de données obtenues auprès d’une personne autre que la personne concernée.

48

En deuxième lieu, il convient d’observer que le champ d’application matériel de l’article 14 du RGPD est défini de manière négative par rapport à l’article 13 de ce règlement. Ainsi qu’il ressort des intitulés même de ces dispositions, cet article 13 porte sur les informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée, tandis que cet article 14 concerne celles qui doivent l’être lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. Compte tenu de cette dichotomie, tous les cas dans lesquels les données ne sont pas collectées auprès de la personne concernée relèvent du champ d’application matériel dudit article 14.

49

Partant, il découle de l’interprétation combinée des articles 13 et 14 du RGPD que tant les données à caractère personnel obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée que les données générées par le responsable du traitement lui-même, qui, par nature, n’ont pas non plus été obtenues auprès de la personne concernée, relèvent du champ d’application de cet article 14. Il en résulte que l’exception établie audit article 14, paragraphe 5, sous c), couvre ces deux catégories de données.

50

En troisième lieu, il convient d’interpréter l’article 14, paragraphe 5, sous c), du RGPD dans un sens conforme à l’objectif poursuivi par ce règlement, qui consiste notamment, ainsi qu’il ressort de son article 1er, lu à la lumière de ses considérants 1 et 10, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la charte des droits fondamentaux et à l’article 16, paragraphe 1, TFUE (voir, en ce sens, arrêt du 7 mars 2024, IAB Europe, C‑604/22, EU:C:2024:214, point 53 et jurisprudence citée).

51

À cet égard, il ressort du considérant 63 du RGPD que le législateur de l’Union a voulu qu’une personne concernée, au sens de ce règlement, dispose du droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet afin de prendre connaissance du traitement qui en est fait et d’en vérifier la licéité.

52

Ainsi, le responsable du traitement peut être dispensé de son obligation d’information qui lui incombe normalement envers une personne concernée à condition que cette personne soit en mesure d’exercer un contrôle sur ses données à caractère personnel et d’exercer les droits que lui confère le RGPD.

53

Conformément à l’objectif poursuivi par ce règlement, l’exception à l’obligation d’information de la personne concernée, prévue à l’article 14, paragraphe 5, sous c), du RGPD, requiert, d’une part, que l’obtention ou la communication des données à caractère personnel par le responsable du traitement soient expressément prévues par le droit de l’Union ou par le droit de l’État membre auquel ce responsable du traitement est soumis. D’autre part, ce droit doit prévoir des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

54

Il en découle que, pour être pleinement conforme à l’objectif poursuivi par le RGPD, l’application de l’article 14, paragraphe 5, sous c), de ce règlement est soumise au respect scrupuleux des conditions que cette disposition prévoit, à savoir, notamment, à l’existence d’un niveau de protection de la personne concernée qui soit au moins équivalent à celui garanti par l’article 14, paragraphes 1 à 4, dudit règlement.

55

Compte tenu des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions.

56

Par ses deuxième et troisième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c), et, dans l’affirmative, si cette vérification porte également sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

57

En premier lieu, il convient de rappeler que, en vertu de l’article 77, paragraphe 1, du RGPD, sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement.

58

En ce qui concerne la compétence des autorités de contrôle, l’article 55, paragraphe 1, dudit règlement prévoit que chaque autorité de contrôle est compétente, sur le territoire de l’État membre dont elle relève, pour exercer les missions et les pouvoirs dont elle est investie en vertu du même règlement.

59

S’agissant de ces missions, l’article 57, paragraphe 1, sous a), du RGPD dispose que chaque autorité de contrôle, sur son territoire, contrôle l’application de ce règlement et veille au respect de celui-ci.

60

Le RGPD ne comporte aucune disposition de nature à soustraire certains aspects de l’application de l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement à la compétence de ces autorités de contrôle.

61

En vertu de cette disposition, le responsable du traitement est dispensé de fournir à la personne concernée les informations visées à l’article 14, paragraphes 1, 2 et 4, du RGPD lorsque, et dans la mesure où, d’une part, l’obtention ou la communication des données à caractère personnel sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et, d’autre part, ce droit prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

62

Dès lors, une réclamation au titre de l’article 77, paragraphe 1, du RGPD peut être fondée sur une violation de l’obligation d’information par le responsable du traitement, tirée du non-respect des conditions d’application de l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement.

63

S’agissant de la première condition, rappelée au point 61 du présent arrêt, l’autorité de contrôle saisie d’une telle réclamation peut être amenée à vérifier si le droit de l’Union ou le droit national prévoit que le responsable du traitement doit obtenir ou communiquer des données à caractère personnel.

64

S’agissant de la seconde condition, il y a lieu de constater, à l’instar de Mme l’avocate générale aux points 67 et 69 de ses conclusions, que la portée de l’expression « mesures appropriées visant à protéger les intérêts légitimes de la personne concernée » n’est pas précisée dans le RGPD. Cela étant, les dispositions du droit de l’Union ou du droit de l’État membre qui prévoient de telles mesures et auxquelles le responsable du traitement est soumis doivent garantir, comme relevé au point 54 du présent arrêt, un niveau de protection de la personne concernée au regard du traitement de ses données à caractère personnel qui soit au moins équivalent à celui qui est prévu à l’article 14, paragraphes 1 à 4, de ce règlement. Ainsi, ces dispositions doivent être de nature à mettre la personne concernée en mesure d’exercer un contrôle sur ses données à caractère personnel et d’exercer les droits que lui confère le RGPD.

65

À cet effet, il importe notamment que lesdites dispositions indiquent, de manière claire et prévisible, la source à partir de laquelle la personne concernée obtiendra des informations sur le traitement des données à caractère personnel qui la concernent.

66

Dans le contexte de la transmission des données à caractère personnel entre organismes d’un État membre et de la génération de telles données par un responsable du traitement à partir des données collectées auprès d’une personne autre que la personne concernée, il convient de relever, que, en cas de réclamation par cette dernière, il appartiendra à l’autorité de contrôle de vérifier, notamment, si le droit national ou le droit de l’Union pertinent définit avec suffisamment de précision les différents types de données à caractère personnel à obtenir ou à communiquer, ainsi que les données à caractère personnel qu’il est amené à générer dans le cadre de l’exercice de ses missions et si ce droit prévoit de quelle manière la personne concernée a effectivement accès aux informations visées à l’article 14, paragraphes 1, 2 et 4, du RGPD.

67

Ainsi que le souligne la Commission dans ses observations écrites, la vérification, par une autorité de contrôle, de la question de savoir si toutes les conditions d’application de l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD sont remplies ne relève pas pour autant d’un examen de la validité des dispositions pertinentes du droit national. Cette autorité se prononce uniquement sur le point de savoir si, dans un cas donné, le responsable du traitement est ou non en droit d’invoquer l’exception prévue à cette disposition à l’égard de la personne concernée.

68

S’agissant de l’issue d’une telle vérification, il convient de rappeler que, en vertu de l’article 78 de ce règlement, lorsque, dans un cas donné, l’autorité de contrôle décide que la réclamation de la personne concernée n’est pas fondée, cette dernière doit disposer, dans son État membre, d’un droit à un recours juridictionnel effectif contre cette décision de rejet.

69

En revanche, lorsque cette autorité considère que la réclamation est fondée et que les conditions de l’application de l’exception prévue à l’article 14, paragraphe 5, sous c), dudit règlement ne sont pas remplies, elle enjoint au responsable du traitement de fournir les informations, conformément à l’article 14, paragraphes 1, 2 et 4, du même règlement, à la personne concernée.

70

En second lieu, s’agissant de savoir si cette vérification doit porter également sur le caractère approprié, au regard de l’article 32 du RGPD, des mesures que le responsable du traitement est tenu de mettre en œuvre pour assurer la sécurité du traitement, il y a lieu de souligner que l’article 14, paragraphe 5, sous c), de ce règlement établit une exception uniquement à l’obligation d’information prévue à l’article 14, paragraphes 1, 2 et 4, dudit règlement, sans prévoir une dérogation aux obligations contenues dans d’autres dispositions du même règlement, parmi lesquelles l’article 32 de celui-ci.

71

Cet article 32 oblige le responsable du traitement et son éventuel sous‑traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement des données à caractère personnel qui soit adéquat. Le caractère approprié de telles mesures doit être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C‑340/21, EU:C:2023:986, points 42, 46 et 47, ainsi que du 25 janvier 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, points 37 et 38).

72

Au vu des termes respectifs de ces deux dispositions, il convient de relever que les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l’existence ou non d’une obligation d’information en vertu de l’article 14 de ce règlement, sont de nature et de portée différentes par rapport à l’obligation d’information prévue à cet article 14.

73

Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement, l’objet des vérifications à effectuer par l’autorité de contrôle est circonscrit par le champ d’application du seul article 14 dudit règlement, le respect de l’article 32 de celui-ci ne faisant pas partie de ces vérifications.

74

Compte tenu des motifs qui précèdent, il y a lieu de répondre aux deuxième et troisième questions que l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c). Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

75

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit :