Affaires jointes C‑26/22 et C‑64/22

UF
et
AB

contre

Land Hessen

(demande de décision préjudicielle, introduite par le Verwaltungsgericht Wiesbaden)

Arrêt de la Cour (première chambre) du 7 décembre 2023

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous a) – Principe de la “licéité” – Article 6, paragraphe 1, premier alinéa, sous f) – Nécessité du traitement aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Article 17, paragraphe 1, sous d) – Droit à l’effacement en cas de traitement illicite de données à caractère personnel – Article 40 – Codes de conduite – Article 78, paragraphe 1 – Droit à un recours juridictionnel effectif contre une autorité de contrôle – Décision prise par l’autorité de contrôle sur une réclamation – Portée du contrôle juridictionnel sur cette décision – Sociétés fournissant des informations commerciales – Conservation de données provenant d’un registre public relatives à la libération de reliquat de dette en faveur d’une personne – Durée de la conservation »

1. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Voies de recours – Recours juridictionnel contre une décision sur réclamation prise par une autorité de contrôle – Contrôle juridictionnel – Portée – Limites – Absence

   (Charte des droits fondamentaux de l’Union européenne, art. 8, § 3, et 47 ; règlement du Parlement européen et du Conseil 2016/679, considérants 141 et 143 et art. 52, 78, § 1, et 79, § 1)

   (voir points 50-53, 58, 59, 62, 67-70, disp. 1)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Traitement nécessaire à l’activité d’une société privée consistant en la fourniture d’informations commerciales à ses partenaires contractuels aux fins de l’évaluation de la solvabilité de leurs clients potentiels – Conservation systématique des données provenant d’un registre public relatives à la libération de reliquat de dette en faveur d’une personne – Durée de la conservation allant au-delà du délai de conservation des donnés dans le registre public d’insolvabilité – Inadmissibilité

   [Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; règlements du Parlement européen et du Conseil 2015/848, considérant 76 et art. 79, § 4 et 5, et 2016/679, art. 5, § 1, a), et 6, § 1, 1er al., f)]

   (voir points 75, 83, 88-100, 113, disp. 2)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Code de conduite élaboré par une association représentant des responsables du traitement ou des sous-traitants approuvé par l’autorité de contrôle compétente – Code fixant des conditions de licéité d’un traitement ne correspondant pas à celles prévues par le règlement 2016/679 – Absence de prise en considération

   [Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, 1er al., f), et 40, § 1, 2 et 5]

   (voir points 101-105)

4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à l’effacement – Étendue – Traitement illicite de données à caractère personnel – Inclusion

   [Règlement du Parlement européen et du Conseil 2016/679, art. 17, § 1, d)]

   (voir points 107, 108, 113, disp. 4)

5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à l’effacement – Étendue – Droit d’opposition de la personne concernée à un traitement des données – Inclusion – Exception – Existence des motifs légitimes et impérieux pour le traitement prévalant sur les intérêts et les droits et libertés de cette personne – Charge de la preuve incombant au responsable du traitement

   [Règlement du Parlement européen et du Conseil 2016/679, art. 17, § 1, c), et 21 § 1]

   (voir points 109-113, disp. 3)

Résumé

SCHUFA Holding AG, une société privée de droit allemand, enregistre et conserve, dans ses propres bases de données, des informations provenant de registres publics, notamment celles relatives à des libérations de reliquat de dette, qu’elle fournit, le cas échéant, à ses partenaires contractuels. Elle procède à l’effacement de ces informations à l’issue d’un délai de trois ans après leur enregistrement, conformément au code de conduite élaboré, en Allemagne, par l’association regroupant les sociétés fournissant des informations commerciales.

Après avoir bénéficié de décisions de libération anticipée de reliquat de dette dans le cadre de procédures d’insolvabilité, UF et AB ont demandé à SCHUFA d’effacer des inscriptions relatives à ces décisions. Cette société a refusé de faire droit à leurs demandes en expliquant que le délai d’effacement de ces données du registre public de six mois, prévu par la législation allemande ( 1 ), ne s’appliquait pas à elle.

UF et AB ont chacun introduit une réclamation à l’encontre de SCHUFA devant le HBDI ( 2 ), l’autorité de contrôle compétente, que cette dernière a rejeté au motif que le traitement des données effectué par SCHUFA était licite.

Saisi des recours contre les décisions du HBDI par UF et AB, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) a interrogé la Cour sur l’interprétation de plusieurs dispositions du RGPD ( 3 ), visant notamment la nécessité du traitement des données aux fins des intérêts poursuivis ainsi que le droit à l’effacement ( 4 ).

Dans son arrêt, la Cour constate que le RGPD ( 5 ) s’oppose à une pratique de sociétés privées fournissant des informations commerciales, qui consiste à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur des personnes physiques pendant une période plus longue que celle prévue par la législation nationale pour la conservation de ces données dans un tel registre. Elle se prononce également sur le droit de la personne concernée d’obtenir de cette société l’effacement des données la concernant.

Appréciation de la Cour

En premier lieu, la Cour rappelle que, selon le RGPD, un traitement de données à caractère personnel peut être considéré comme licite notamment lorsque trois conditions cumulatives sont réunies, à savoir, premièrement, que le responsable du traitement ou un tiers poursuit un intérêt légitime, deuxièmement, que le traitement est nécessaire pour la réalisation de l’intérêt légitime poursuivi et troisièmement, que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers ( 6 ).

S’agissant de la première condition, la Cour souligne que si, en l’occurrence, le traitement des données à caractère personnel sert les intérêts économiques d’une société privée, il sert également à poursuivre les intérêts légitimes des partenaires contractuels de cette société, qui sont tenus d’évaluer la solvabilité des personnes avec lesquelles ils envisagent de conclure des contrats liés à un crédit, et donc les intérêts du secteur de crédit sur un plan socio-économique.

Pour ce qui est de la deuxième condition, la Cour rappelle que le traitement des données ne peut être considéré comme étant « nécessaire » que s’il est opéré dans les limites du strict nécessaire pour la réalisation d’un intérêt légitime poursuivi par le responsable du traitement ou par un tiers.

Quant à la troisième condition, la Cour constate que, en l’occurrence, l’examen de celle-ci se confond avec l’examen de la deuxième condition et nécessite une pondération des droits et des intérêts opposés pour apprécier si les intérêts légitimes poursuivis ne peuvent raisonnablement être atteints par une durée de conservation plus courte des données.

Ainsi, s’agissant de la pondération des intérêts légitimes poursuivis, la Cour relève que, dans la mesure où l’analyse apportée par une société fournissant des informations commerciales rend possible l’évaluation objective et fiable de la solvabilité des clients potentiels des partenaires contractuels de cette société, elle permet de compenser des disparités d’information et donc de réduire les risques de fraude ainsi que d’autres incertitudes.

S’agissant, en revanche, des droits et des intérêts de la personne concernée, la Cour considère que le traitement, par cette société, de données relatives à l’octroi d’une libération de reliquat de dette, tel que la conservation, l’analyse et la communication de ces données à un tiers, constitue une ingérence grave dans les droits fondamentaux de la personne concernée ( 7 ). En effet, de telles données servent comme un facteur négatif lors de l’évaluation de la solvabilité de cette dernière et constituent donc des informations sensibles sur sa vie privée dont le traitement est susceptible de nuire considérablement à ses intérêts. En outre, plus la conservation de telles données est longue, plus les conséquences sur les intérêts et sur la vie privée de la personne concernée sont importantes et plus les exigences relatives à la licéité de la conservation de cette information sont élevées.

Par ailleurs, concernant la conservation des données dans les registres publics d’insolvabilité, la Cour relève que les États membres sont responsables de la collecte et du stockage des données dans les bases de données nationales ( 8 ) et, partant, ils doivent également fixer le délai de conservation de ces données. En l’occurrence, le législateur national a considéré qu’après l’expiration du délai de six mois, les droits et les intérêts de la personne concernée prévalent sur ceux du public à disposer de cette information.

En outre, la libération de reliquat de dette est censée permettre à la personne qui en bénéficie de participer de nouveau à la vie économique et revêt, généralement, une importance existentielle pour cette personne. Or, la réalisation de cet objectif serait compromise si les informations y relatives pouvaient être conservées et utilisées après leur effacement du registre public d’insolvabilité.

Par conséquent, la Cour conclut que les intérêts du secteur de crédit à disposer des informations sur une libération de reliquat de dette ne sauraient justifier la conservation des données au-delà du délai de conservation dans le registre public d’insolvabilité.

La Cour ajoute que la conservation des données pendant la période de six mois constitue elle aussi une ingérence dans les droits fondamentaux de la personne concernée. À cet égard, il incombe à la juridiction de renvoi d’apprécier si la conservation parallèle de ces données par des sociétés privées peut être considérée comme étant limitée au strict nécessaire.

Enfin, en ce qui concerne l’existence d’un code de conduite prévoyant la suppression de données à l’issue d’un délai de trois ans, la Cour note que si un tel code est destiné à contribuer à la bonne application du RGPD ( 9 ), il n’en demeure pas moins que les conditions de licéité d’un traitement de données à caractère personnel qu’il fixe ne sauraient différer des conditions prévues par le RGPD. Ainsi, un code de conduite aboutissant à une appréciation différente de celle obtenue en application du RGPD ne saurait être pris en considération.

En second lieu, s’agissant des obligations du responsable du traitement d’effacer les données personnelles, la Cour note, d’une part, que ce dernier doit procéder à l’effacement des données ayant fait l’objet d’un traitement illicite tel que, en l’occurrence, le traitement des données effectué par la société concernée au-delà du délai de conservation de six mois dans le registre public ( 10 ). D’autre part, même si la juridiction de renvoi devait conclure que le traitement des données pendant la période de six mois était licite, la personne concernée aurait le droit de s’opposer à un tel traitement ( 11 ) et d’obtenir l’effacement des données la concernant, si cette société reste en défaut de démontrer l’existence de motifs légitimes impérieux qui prévalent sur les intérêts ainsi que sur les droits et les libertés de cette personne ( 12 ).

( 1 ) Article 3, paragraphe 1, de la Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (règlement relatif aux publications officielles diffusées par Internet dans le cadre des procédures d’insolvabilité), du 12 février 2002 (BGBl. I, p. 677).

( 2 ) Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne).

( 3 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

( 4 ) Respectivement, l’article 6, paragraphe 1, premier alinéa, sous f), et l’article 17, paragraphe 1, sous c) et d), de ce règlement.

( 5 ) Article 5, paragraphe 1, sous a), lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD.

( 6 ) En vertu de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, applicable en l’occurrence.

( 7 ) Droits consacrés aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, portant respectivement sur le respect de la vie privée et sur la protection des données à caractère personnel.

( 8 ) En vertu de l’article 79, paragraphe 4, du règlement (UE) 2015/848 du Parlement européen et du Conseil, du 20 mai 2015, relatif aux procédures d’insolvabilité (refonte) (JO 2015, L. 141, p. 19). L’article 79, paragraphe 5, de ce règlement se limite à prévoir que les États membres informent les personnes concernées de la période durant laquelle les données à caractère personnel stockées dans les registres d’insolvabilité sont accessibles, sans déterminer un délai pour la conservation de ces données.

( 9 ) Selon l’article 40, paragraphes 1 et 2, du RGPD.

( 10 ) Conformément à l’article 17, paragraphe 1, sous d), du RGPD.

( 11 ) En vertu de l’article 21, paragraphe 1, du RGPD.

( 12 ) En application de l’article 17, paragraphe 1, sous c), du RGPD.