This document is an excerpt from the EUR-Lex website
Document 62019CC0439
Opinion of Advocate General Szpunar delivered on 17 December 2020.#Proceedings brought by B.#Request for a preliminary ruling from the Satversmes tiesa.#Reference for a preliminary ruling – Protection of natural persons with regard to the processing of personal data – Regulation (EU) 2016/679 – Articles 5, 6 and 10 – National legislation providing for public access to personal data relating to penalty points imposed for road traffic offences – Lawfulness – Concept of ‘personal data relating to criminal convictions and offences’ – Disclosure for the purpose of improving road safety – Right of public access to official documents – Freedom of information – Reconciliation with the fundamental rights to respect for private life and to the protection of personal data – Re-use of data – Article 267 TFEU – Temporal effect of a preliminary ruling – Ability of a constitutional court of a Member State to maintain the legal effects of national legislation incompatible with EU law – Principles of primacy of EU law and of legal certainty.#Case C-439/19.
Conclusions de l'avocat général M. M. Szpunar, présentées le 17 décembre 2020.
Procédure engagée par B.
Demande de décision préjudicielle, introduite par la Latvijas Republikas Satversmes tiesa.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 5, 6 et 10 – Législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Licéité – Notion de “données à caractère personnel relatives aux condamnations pénales et aux infractions” – Divulgation aux fins d’améliorer la sécurité routière – Droit d’accès du public aux documents officiels – Liberté d’information – Conciliation avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel – Réutilisation des données – Article 267 TFUE – Effets dans le temps d’une décision préjudicielle – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une législation nationale non compatible avec le droit de l’Union – Principes de primauté du droit de l’Union et de sécurité juridique.
Affaire C-439/19.
Conclusions de l'avocat général M. M. Szpunar, présentées le 17 décembre 2020.
Procédure engagée par B.
Demande de décision préjudicielle, introduite par la Latvijas Republikas Satversmes tiesa.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 5, 6 et 10 – Législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Licéité – Notion de “données à caractère personnel relatives aux condamnations pénales et aux infractions” – Divulgation aux fins d’améliorer la sécurité routière – Droit d’accès du public aux documents officiels – Liberté d’information – Conciliation avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel – Réutilisation des données – Article 267 TFUE – Effets dans le temps d’une décision préjudicielle – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une législation nationale non compatible avec le droit de l’Union – Principes de primauté du droit de l’Union et de sécurité juridique.
Affaire C-439/19.
Court reports – general – 'Information on unpublished decisions' section
ECLI identifier: ECLI:EU:C:2020:1054
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. MACIEJ SZPUNAR
présentées le 17 décembre 2020 ( 1 )
Affaire C‑439/19
B
autre partie à la procédure
Latvijas Republikas Saeima
[demande de décision préjudicielle formée par la Satversmes tiesa (Cour constitutionnelle, Lettonie)]
« Renvoi préjudiciel – Règlement (UE) 2016/679 – Traitement des données à caractère personnel – Informations relatives aux points de pénalité infligés en cas d’infraction routière – Notion de “traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions” – Réglementation nationale prévoyant la divulgation de ces informations et autorisant leur réutilisation »
I. Introduction
1. |
En 1946, George Orwell avait formulé les observations suivantes sur la campagne « Évitons les morts sur les routes », menée à l’époque par un ancien État membre de l’Union européenne : « Si l’on veut vraiment éviter les morts sur les routes, il faudrait réorganiser l’ensemble du réseau routier de manière à rendre les collisions impossibles. Réfléchissez à ce que cela signifie (cela impliquerait, par exemple, de démolir puis de reconstruire toute la ville de Londres), et l’on peut voir que c’est tout à fait au-delà du pouvoir de n’importe quelle nation pour le moment. À défaut, il est seulement possible d’adopter des mesures palliatives qui, en fin de compte, reviennent à rendre les gens plus prudents. » ( 2 ) |
2. |
L’affaire dont est saisie la Satversmes tiesa (Cour constitutionnelle, Lettonie), qui s’est tournée vers la Cour en lui adressant la présente demande de décision préjudicielle, concerne, en substance, les « mesures palliatives » mentionnées ci‑dessus : afin de promouvoir la sécurité routière en rendant les conducteurs plus avertis et prudents, des points de pénalité sont infligés aux conducteurs qui commettent des infractions routières. Ces informations sont ensuite communiquées et transmises à des fins de réutilisation. La juridiction de renvoi, qui est saisie d’un recours constitutionnel, s’interroge sur la compatibilité de la loi nationale en cause avec le règlement (UE) 2016/679 ( 3 ) (ci‑après le « RGPD »). |
3. |
Il s’agit donc, en l’espèce, d’une affaire de protection des données presque classique, en ce sens qu’elle s’inscrit principalement dans le monde « hors-ligne » et qu’elle implique une relation verticale entre un État et un particulier, ce qui la situe parfaitement dans une série d’affaires parvenues à la Cour depuis l’arrêt de principe Stauder ( 4 ), vraisemblablement la première affaire relative à la protection des données au sens large ( 5 ). |
4. |
Pour apprécier dans quelle mesure un État membre peut interférer avec les droits personnels d’un individu afin de poursuivre son objectif de promotion de la sécurité routière, je propose à la Cour de considérer que des mesures telles que celles prises par la législation lettone en cause ne sont pas proportionnées à l’objectif qu’elles entendent atteindre. |
5. |
Néanmoins, avant d’en arriver là, la présente affaire pose toute une série de questions fondamentales et complexes qui nous feront parcourir le RGPD à une vitesse folle. Attachez vos ceintures. Cela pourrait vous éviter un point de pénalité. |
II. Le cadre juridique
A. Le droit de l’Union
1. Le RGPD
6. |
Le chapitre I du RGPD, intitulé « Dispositions générales », contient les articles 1 à 4, qui fixent les objets et objectifs, les champs d’application matériel et territorial ainsi que les définitions. |
7. |
L’article 1er du RGPD, intitulé « Objet et objectifs », est libellé comme suit : « 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. 2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. 3. La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. » |
8. |
L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose : « 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
[...] » |
9. |
Le chapitre II du RGPD, qui contient les articles 5 à 11, énonce les principes du règlement : les principes relatifs au traitement des données à caractère personnel, à la licéité du traitement, aux conditions applicables au consentement, y compris au consentement de l’enfant en ce qui concerne les services de la société de l’information, au traitement portant sur des catégories particulières de données à caractère personnel et au traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions et au traitement ne nécessitant pas l’identification. |
10. |
Aux termes de l’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel » : « 1. Les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui‑ci est respecté (responsabilité). » |
11. |
L’article 10 du RGPD, intitulé « Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions », énonce : « Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes, fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. » |
2. La directive 2003/98/CE
12. |
L’article 1er de la directive 2003/98/CE ( 6 ), intitulé « Objet et champ d’application », est libellé comme suit : « 1. La présente directive fixe un ensemble minimal de règles concernant la réutilisation et les moyens pratiques destinés à faciliter la réutilisation de documents existants détenus par des organismes du secteur public des États membres. 2. La présente directive ne s’applique pas :
3. La présente directive s’appuie sur les règles d’accès en vigueur dans les États membres et ne les affecte en rien. 4. La présente directive laisse intact et n’affecte en rien le niveau de protection des personnes à l’égard du traitement des données à caractère personnel garanti par les dispositions du droit de l’Union et du droit national et, en particulier, ne modifie en rien les droits et obligations prévus dans la directive 95/46/CE[ ( 7 )]. 5. Les obligations imposées par la présente directive ne s’appliquent que dans la mesure où elles sont compatibles avec les dispositions des accords internationaux sur la protection des droits de propriété intellectuelle, notamment la convention de Berne[ ( 8 )] et l’accord TRIPS[ ( 9 )]. » |
13. |
L’article 2 de la directive 2003/98, intitulé « Définitions », dispose : « Aux fins de la présente directive, on entend par :
|
14. |
L’article 3 de la directive 2003/98, intitulé « Principe général », dispose : « 1. Sous réserve du paragraphe 2, les États membres veillent à ce que les documents auxquels s’applique la présente directive en vertu de l’article 1er puissent être réutilisés à des fins commerciales ou non commerciales, conformément aux conditions définies aux chapitres III et IV. 2. Pour les documents à l’égard desquels des bibliothèques, y compris des bibliothèques universitaires, des musées et des archives, sont titulaires de droits de propriété intellectuelle, les États membres veillent à ce que, lorsque la réutilisation de ces documents est autorisée, ces derniers puissent être réutilisés à des fins commerciales ou non commerciales conformément aux conditions définies aux chapitres III et IV. » |
B. Le droit letton
15. |
L’article 141, paragraphe 2, du Ceļu satiksmes likums (loi sur la circulation routière) ( 10 ) est libellé comme suit : « Les informations relatives à un véhicule appartenant à une personne morale, [...] au droit d’une personne de conduire des véhicules, aux amendes infligées pour des infractions routières et non payées dans le délai prévu par la loi, ainsi que les autres informations se trouvant dans le registre national des véhicules et de leurs conducteurs [ci‑après le “registre national des véhicules”] et dans le système d’information sur les tracteurs et leurs conducteurs, constituent des informations accessibles au public. » |
III. Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles
16. |
B, partie requérante au principal, est une personne physique à laquelle des points de pénalité ont été infligés en vertu de la loi sur la circulation routière et d’un décret y afférent ( 11 ). La Ceļu satiksmes drošības direkcija (direction de la sécurité routière, Lettonie, ci‑après la « CSDD ») est un organisme public qui a inscrit ces points de pénalité au registre national des véhicules. |
17. |
Puisque les informations relatives aux points de pénalité peuvent être communiquées sur demande et qu’elles ont été, selon B, transmises à des fins de réutilisation à plusieurs entreprises, B a formé un recours constitutionnel devant la juridiction de renvoi, contestant la conformité de l’article 141, paragraphe 2, de la loi sur la circulation routière avec le droit au respect de la vie privée énoncé à l’article 96 de la Latvijas Republikas Satversme (Constitution de la République de Lettonie). |
18. |
Dès lors que l’article 141, paragraphe 2, de la loi sur la circulation routière a été adopté par la Latvijas Republikas Saeima (Parlement letton, ci‑après la « Saeima »), cette institution a participé à la procédure. La CSDD, qui traite les données en cause, a également été entendue. En outre, la Datu valsts inspekcija (autorité de la protection des données, Lettonie) – qui est, en Lettonie, l’autorité de contrôle au sens de l’article 51 du RGPD – et plusieurs autres autorités et personnes ont été invitées à donner leur avis en tant qu’amici curiae. |
19. |
La Saeima reconnaît que, en vertu de la disposition litigieuse, toute personne peut obtenir des informations relatives aux points de pénalité d’une autre personne, soit en se renseignant directement auprès de la CSDD, soit en faisant appel aux services fournis par des réutilisateurs commerciaux. |
20. |
Cela étant, la Saeima estime que la disposition litigieuse est licite, car elle est justifiée par l’objectif d’amélioration de la sécurité routière, qui exige que les contrevenants au code de la route soient ouvertement identifiés et que les conducteurs soient dissuadés de commettre des infractions. |
21. |
Il faudrait, en outre, que le droit d’accès à l’information, prévu à l’article 100 de la Constitution lettone, soit respecté. En tout état de cause, le traitement des informations relatives aux points de pénalité a lieu sous le contrôle de l’autorité publique et dans le respect des garanties appropriées pour les droits et libertés des personnes concernées. |
22. |
La Saeima explique encore que, dans la pratique, la communication des informations contenues dans le registre national des véhicules est subordonnée à la condition que le demandeur de l’information fournisse le numéro d’identification national du conducteur sur lequel il souhaite se renseigner. Cette condition préalable à l’obtention d’informations s’explique par le fait que, à la différence du nom d’une personne, un numéro d’identification national est un identificateur unique. |
23. |
La CSDD, quant à elle, a expliqué à la juridiction de renvoi le fonctionnement du système des points de pénalité et a confirmé que la législation nationale n’impose aucune limite à l’accès du public aux données relatives à ces points de pénalité ni à la réutilisation de ces données. |
24. |
La CSDD a également fourni des précisions sur les contrats conclus avec des réutilisateurs commerciaux. Elle a souligné que ces contrats ne prévoient pas le transfert juridique des données et que les réutilisateurs s’assurent que les informations transmises à leurs clients n’excèdent pas celles qui peuvent être obtenues auprès de la CSDD. En outre, l’une des clauses contractuelles stipule que l’acquéreur des informations doit utiliser celles‑ci selon les modalités établies dans la réglementation en vigueur et conformément aux objectifs indiqués dans le contrat. |
25. |
L’autorité de la protection des données a exprimé des doutes sur la conformité de la disposition litigieuse avec l’article 96 de la Constitution lettone. Elle n’a pas exclu que le traitement des données en cause pourrait être inapproprié ou disproportionné. |
26. |
Cette autorité a également observé que, si les statistiques sur les accidents de la circulation en Lettonie montrent une diminution du nombre d’accidents, il n’est pas pour autant établi que le système des points de pénalité et l’accès du public aux informations y relatives ont contribué à cette évolution favorable. |
27. |
La Satversmes tiesa (Cour constitutionnelle) constate, tout d’abord, que le recours dont elle est saisie ne porte pas sur l’article 141, paragraphe 2, de la loi sur la circulation routière dans sa globalité, mais seulement dans la mesure où cette disposition rend accessibles au public les points de pénalité inscrits au registre national des véhicules. |
28. |
Cette juridiction considère, ensuite, que les points de pénalité sont des données à caractère personnel et qu’ils doivent donc être traités conformément au droit au respect de la vie privée. Elle souligne qu’il y a lieu, dans le cadre de l’appréciation de la portée de l’article 96 de la Constitution lettone, de tenir compte du RGPD ainsi que de l’article 16 TFUE et de l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte »). |
29. |
S’agissant des objectifs de la loi sur la circulation routière, la juridiction de renvoi expose que c’est dans le but d’influer sur le comportement des conducteurs de véhicules et de minimiser ainsi les risques pour la vie, la santé et la propriété des personnes que les infractions commises par les conducteurs, qui sont qualifiées d’infractions administratives en Lettonie, sont inscrites au registre national des condamnations et que les points de pénalité sont inscrits au registre national des véhicules. |
30. |
Le registre national des condamnations constitue un registre unique des condamnations des personnes ayant commis des infractions (qu’elles soient pénales ou administratives), dans le but, notamment, de faciliter le contrôle de l’application des pénalités infligées. En revanche, le registre national des véhicules permet de faire le compte des infractions routières et de mettre en œuvre des mesures en fonction du nombre de ces infractions commises. Le système des points de pénalité vise à améliorer la sécurité routière, en distinguant les conducteurs de véhicules qui méconnaissent les règles de la circulation routière, de manière systématique et de mauvaise foi, par rapport aux conducteurs qui commettent occasionnellement des infractions, et en influençant de manière dissuasive le comportement des usagers de la route. |
31. |
La juridiction de renvoi relève que l’article 141, paragraphe 2, de la loi sur la circulation routière confère à toute personne le droit de demander et d’obtenir de la part de la CSDD les informations se trouvant dans le registre national des véhicules relatives aux points de pénalité infligés aux conducteurs. En pratique, les informations relatives aux points de pénalité sont fournies à la personne qui les demande dès l’instant où celle‑ci indique le numéro d’identification national du conducteur concerné. |
32. |
La Satversmes tiesa (Cour constitutionnelle) précise, par la suite, que les points de pénalité, du fait de leur qualification d’« informations accessibles au public », relèvent de la loi sur la liberté d’information et peuvent, en conséquence, être réutilisées à des fins commerciales ou non commerciales autres que l’objectif initial pour lequel ces informations ont été créées. |
33. |
Afin d’interpréter et d’appliquer l’article 96 de la Constitution lettone en conformité avec le droit de l’Union, la juridiction de renvoi souhaite, en premier lieu, savoir si des points de pénalité tels que ceux imposés par le droit letton relèvent de l’article 10 du RGPD. En particulier, la juridiction de renvoi cherche à savoir si l’article 141, paragraphe 2, de la loi sur la circulation routière enfreint les exigences contenues audit article 10 selon lesquelles le traitement des données visées par cette disposition ne peut avoir lieu que « sous le contrôle de l’autorité publique » ou sous « des garanties appropriées pour les droits et libertés des personnes concernées ». |
34. |
La juridiction de renvoi observe que l’article 8, paragraphe 5, de la directive 95/46, qui laissait à chaque État membre le soin d’apprécier s’il convenait d’étendre les règles particulières en matière des données relatives aux infractions et condamnations pénales aux données relatives aux infractions et sanctions administratives, a été mis en œuvre en Lettonie en vertu de l’article 12 de la Fizisko personu datu aizsardzības likums (loi relative à la protection des données des personnes physiques), selon lequel les données à caractère personnel relatives aux infractions administratives ne pouvaient, à l’instar des données relatives aux infractions et condamnations pénales, faire l’objet d’un traitement que par les personnes prévues par la loi et dans les cas prévus par la loi. |
35. |
Il découle de ces éléments que, depuis plus d’une décennie, des exigences similaires sont appliquées en Lettonie pour le traitement des données à caractère personnel relatives aux infractions et condamnations pénales et aux données à caractère personnel relatives aux infractions administratives. |
36. |
La juridiction de renvoi observe également que la portée de l’article 10 du RGPD doit, conformément au considérant 4 de ce règlement, être appréciée en tenant compte de la fonction des droits fondamentaux dans la société. Elle estime, à cet égard, que l’objectif d’assurer qu’il n’est pas porté indûment atteinte à la vie privée et professionnelle d’une personne en raison d’une condamnation antérieure pourrait valoir tant en ce qui concerne les condamnations pénales qu’en ce qui concerne les infractions administratives. |
37. |
La Satversmes tiesa (Cour constitutionnelle) cherche, en deuxième lieu, à déterminer la portée de l’article 5 du RGPD. Elle se demande, en particulier, si, au regard du considérant 39 de ce règlement, le législateur letton a respecté l’obligation, énoncée au paragraphe 1, sous f), de cet article, de garantir que les données à caractère personnel soient traitées avec « intégrité et confidentialité ». Elle observe que l’article 141, paragraphe 2, de la loi sur la circulation routière, qui, en autorisant l’accès aux informations relatives aux points de pénalité, permet de savoir si une personne a été condamnée pour une infraction en matière de circulation routière, n’a pas été assorti de mesures spécifiques assurant la sécurité de ces données. |
38. |
La juridiction de renvoi souhaite savoir, en troisième lieu, si la directive 2003/98 est pertinente pour déterminer si l’article 141, paragraphe 2, de la loi sur la circulation routière est compatible avec l’article 96 de la Constitution lettone. Elle souligne que, conformément à cette directive, la réutilisation de données à caractère personnel ne peut être autorisée que si le droit au respect de la vie privée est respecté. |
39. |
En quatrième lieu, au regard de la jurisprudence de la Cour selon laquelle l’interprétation du droit de l’Union fournie dans des arrêts préjudiciels a des effets erga omnes et ex tunc, la juridiction de renvoi se demande si elle peut néanmoins, dans l’éventualité où l’article 141, paragraphe 2, de la loi sur la circulation routière est considéré comme incompatible avec l’article 96 de la Constitution lettone, lu à la lumière du droit de l’Union tel qu’interprété par la Cour, juger que les effets juridiques de l’article 141, paragraphe 2, seront maintenus jusqu’à la date du prononcé de son arrêt dans lequel elle déclare que cette disposition est inconstitutionnelle, en se fondant sur le fait qu’un nombre élevé de rapports juridiques seront affectés par son arrêt. |
40. |
À cet égard, la juridiction de renvoi explique que, selon le droit letton, un acte qui est déclaré inconstitutionnel doit être considéré comme étant nul à compter du jour de la publication de l’arrêt de la Satversmes tiesa (Cour constitutionnelle), à moins que celle‑ci n’en décide autrement. Elle explique également sa pratique, qui consiste à assurer un équilibre, lors de la fixation de la date à laquelle la disposition déclarée inconstitutionnelle n’est plus en vigueur, entre, d’une part, le principe de sécurité juridique et, d’autre part, les droits fondamentaux des différents intéressés. |
41. |
C’est dans ce contexte que la Satversmes tiesa (Cour constitutionnelle) a, par ordonnance du 4 juin 2019, parvenue à la Cour le 11 juin 2019, décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
42. |
Des observations écrites ont été déposées par les gouvernements letton, néerlandais, autrichien et portugais ainsi que par la Commission européenne. |
43. |
Dans le contexte de la propagation du virus SARS-CoV-2, la Cour a décidé d’annuler l’audience de la présente affaire qui avait été inscrite pour le 11 mai 2020. Par la voie de mesures d’organisation de la procédure et à titre exceptionnel, la Cour a décidé de remplacer cette audience par des questions pour réponse écrite. Les gouvernements letton et suédois, ainsi que la Commission, ont répondu aux questions qui leur ont été posées par la Cour. |
IV. Appréciation
44. |
La présente demande de décision préjudicielle soulève un certain nombre de questions fondamentales concernant le RGPD. Toutes ces questions présupposent, néanmoins, l’applicabilité de ce règlement dans la présente affaire ( 12 ). Si je soulève ce point, c’est parce que l’Union européenne n’a pas légiféré dans le domaine des points de pénalité pour les infractions au code de la route. |
A. Sur le champ d’application matériel du RGPD – Article 2, paragraphe 2, sous a)
45. |
En vertu de l’article 2, paragraphe 2, sous a), du RGPD, ce règlement ne s’applique pas au traitement de données à caractère personnel dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union. Il est évident que si l’article 2, paragraphe 1, du RGPD énonce de manière affirmative ce qui relève de ce règlement ( 13 ), l’article 2, paragraphe 2, du RGPD exclut quatre types d’activités de son champ d’application. En tant qu’exception à la règle générale, l’article 2, paragraphe 2, du RGPD doit être interprété strictement ( 14 ). |
46. |
Le législateur de l’Union a choisi de recourir à un règlement comme forme d’instrument juridique afin d’accroître le degré d’uniformité du droit de l’Union en matière de protection des données, notamment afin de créer des conditions de concurrence équitables entre les opérateurs (économiques) au sein du marché intérieur, indépendamment du lieu d’établissement de ces opérateurs ( 15 ). |
47. |
L’article 16 TFUE ne contient pas seulement la base juridique pour l’adoption de textes tels que le RGPD, mais constitue aussi, plus généralement, en ce qu’il fait partie de la première partie du titre II du traité FUE ( 16 ), une disposition horizontale de nature constitutionnelle qui doit être prise en compte dans l’exercice de toute compétence de l’Union. |
48. |
Tout comme son prédécesseur, la directive 95/46, le RGPD vise à assurer un niveau élevé de protection des droits et libertés fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel ( 17 ). |
49. |
Le libellé de l’article 2, paragraphe 2, sous a), du RGPD reflète en substance celui de l’article 16, paragraphe 2, TFUE ( 18 ), qui constitue la base juridique de ce règlement au titre du droit primaire. Aux termes de l’article 16, paragraphe 2, TFUE, le législateur de l’Union fixe les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les États membres « dans le cadre d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données » ( 19 ). Cette disposition revêt donc un caractère déclaratoire. Par conséquent, l’analyse qui suit s’applique, dans la même mesure, à l’article 2, paragraphe 2, sous a), du RGPD et à l’article 16, paragraphe 2, TFUE. |
50. |
Il convient tout d’abord de noter que le libellé de l’article 2, paragraphe 2, sous a), du RGPD (« une activité qui ne relève pas du champ d’application du droit de l’Union ») diffère de celui de l’article 51, paragraphe 1, de la Charte ( 20 ), selon lequel « [l]es dispositions de la présente Charte s’adressent [...] aux États membres uniquement lorsqu’ils mettent en œuvre le droit de l’Union » ( 21 ). |
51. |
Si l’on devait y voir une indication que le libellé de l’article 2, paragraphe 2, sous a), du RGPD est plus large que celui de l’article 51, paragraphe 1, de la Charte ( 22 ), étant donné que la Cour a interprété l’article 51, paragraphe 1, de la Charte en ce sens qu’il s’applique « lorsqu’une réglementation nationale entre dans le champ d’application du droit de l’Union » ( 23 ), il n’y a pas de différence substantielle entre le libellé de ces deux dispositions tel qu’interprété par la Cour ( 24 ). |
52. |
Cela étant dit, je ne crois pas qu’il convienne de faire des analogies avec la jurisprudence de la Cour relative au champ d’application de la Charte ( 25 ). Ce serait trop restrictif et contraire à l’objectif poursuivi par l’article 16 TFUE et par le RGPD. En effet, la logique qui sous-tend la Charte est fondamentalement différente de celle du RGPD : la Charte vise à discipliner l’exercice du pouvoir par les institutions de l’Union et les États membres lorsqu’ils opèrent dans le champ d’application du droit de l’Union et, à l’inverse, à offrir un bouclier permettant aux particuliers de faire valoir leurs droits respectifs. En revanche, la protection des données à caractère personnel est plus qu’un droit fondamental. Ainsi que le démontre l’article 16 TFUE ( 26 ), la protection des données constitue un domaine relevant de la politique de l’Union à part entière. L’objectif même du RGPD est qu’il doit s’appliquer à toute forme de traitement des données à caractère personnel, quel que soit le sujet en cause, et cela, incidemment, qu’il soit effectué par les États membres ou par des personnes physiques. Une interprétation stricte des termes de l’article 2, paragraphe 2, sous a), du RGPD irait totalement à l’encontre de cet objectif. Le RGPD, qui était destiné à être un tigre en matière de protection des données, s’avérerait être un chaton domestique. |
53. |
La simple existence d’une disposition telle que l’article 10 du RGPD, qui sera interprété en détail dans mon analyse de la première question de la juridiction de renvoi, est un bon exemple à cet égard. Si le RGPD traite du « traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1 » du RGPD ( 27 ), à une époque où les condamnations pénales et les infractions sont déterminées presque exclusivement par le droit national et non pas par le droit de l’Union, sous réserve de l’invalidité de l’article 10 du RGPD, ce règlement ne peut pas avoir la fonction accessoire qui est celle de la Charte. |
54. |
Il en va de même s’agissant de l’existence de l’article 87 du RGPD, qui permet aux États membres de déterminer plus précisément les conditions spécifiques du traitement d’un numéro d’identification national ( 28 ). |
55. |
Par ailleurs, il convient de tenir compte du considérant 16 du RGPD qui, dans la partie non contraignante, mais néanmoins instructive de ce règlement, reflète l’article 2 du RGPD. La sécurité nationale y est mentionnée comme exemple d’un domaine échappant au champ d’application du droit de l’Union. Il en va de même s’agissant de la déclaration tout aussi non contraignante relative à l’article 16 TFUE ( 29 ), où il est déclaré que, « chaque fois que doivent être adoptées, sur la base de l’article 16 [de ce traité], des règles relatives à la protection des données à caractère personnel qui pourraient avoir une incidence directe sur la sécurité nationale, il devra en être dûment tenu compte » et où il est rappelé que, « en particulier, la directive 95/46 [...] prévoit des dérogations spécifiques à cet égard » ( 30 ). |
56. |
Cet accent explicite mis sur la sécurité nationale indique clairement ce que tant les auteurs du traité FUE (article 16 TFUE) que le législateur de l’Union [article 2, paragraphe 2, sous a), du RGPD] avaient à l’esprit lorsqu’ils ont rédigé ces passages respectifs. |
57. |
Le législateur de l’Union a précisé ailleurs, toujours dans le contexte de la protection des données, que la sécurité nationale est, dans ce contexte, entendue comme la « sûreté de l’État » ( 31 ). |
58. |
À cet égard, l’article 2, paragraphe 2, sous a), du RGPD devrait être lu dans le contexte de l’article 4, paragraphe 2, TUE, qui prévoit que l’Union respecte les fonctions essentielles étatiques des États membres ( 32 ) et précise, à cet égard, à titre d’exemple, que « la sécurité nationale reste de la seule responsabilité de chaque État membre ». L’article 2, paragraphe 2, sous a), du RGPD se borne à réitérer cette exigence constitutionnelle de ce qui doit être garanti aux fins du fonctionnement d’un État ( 33 ). |
59. |
Sur la base de l’analyse qui précède, je n’ai aucune raison de penser que l’article 2, paragraphe 2, sous a), du RGPD introduit un critère comportant un seuil élevé à atteindre afin de déclencher l’applicabilité du RGPD, ni que cela aurait été l’intention du législateur de l’Union. |
60. |
Enfin, un rapide coup d’œil aux trois autres exceptions au champ d’application matériel du RGPD, prévues à l’article 2, paragraphe 2, sous b) à d), confirme cette analyse. Le RGPD ne s’applique donc pas au traitement de données à caractère personnel effectué par les États membres dans le cadre d’activités qui relèvent du champ d’application de la politique étrangère et de sécurité commune de l’Union ( 34 ), par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ( 35 ), et par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ( 36 ). |
61. |
L’exclusion de la politique étrangère et de sécurité commune, qui demeure essentiellement intergouvernementale, est logique ( 37 ). Les activités purement personnelles et domestiques des personnes physiques sont, en tout état de cause, en principe exclues du champ d’application du droit de l’Union puisqu’elles ne sont pas régies par le droit primaire ou dérivé. Il en va de même, en principe, pour la prévention et la détection d’infractions pénales, ainsi que pour les enquêtes et les poursuites en la matière ou pour l’exécution de sanctions pénales. Néanmoins, cette dernière exception s’explique par le fait que l’Union a adopté une directive spéciale ( 38 ), le même jour d’ailleurs que celui de l’adoption du RGPD. En outre, il ressort de l’article 23, paragraphe 1, sous d), du RGPD que le traitement de données à caractère personnel effectué par des personnes physiques pour les mêmes finalités relève du champ d’application du RGPD ( 39 ). |
62. |
Par conséquent, si elles doivent avoir une quelconque signification juridique normative, les deux dernières exceptions ne peuvent pas être considérées comme ne relevant pas du champ d’application du droit de l’Union au sens de l’article 2, paragraphe 2, sous a), du RGPD. |
63. |
Enfin, il convient de relever qu’il n’existe pas de preuves apparentes que la Cour appliquerait, par principe, un critère strict s’agissant du champ d’application du RGPD ou de la directive 95/46 au titre, respectivement, de l’article 2 de ce règlement et de l’article 3 de cette directive ( 40 ). Au contraire, la Cour tend à souligner que « l’applicabilité de la directive 95/46 ne saurait dépendre de la question de savoir si les situations concrètes en cause dans les affaires au principal comportent un lien suffisant avec l’exercice des libertés fondamentales garanties par le traité » ( 41 ). |
64. |
Pour conclure cette partie liminaire de l’analyse, il convient donc d’interpréter l’article 2, paragraphe 2, sous a), du RGPD en ce sens que ce règlement s’applique au traitement de données à caractère personnel dans ou par un État membre, à moins que ce traitement ne soit effectué dans un domaine qui ne relève pas de la compétence de l’Union. |
65. |
En conséquence, le RGPD est applicable au cas d’espèce et doit être pris en compte par la juridiction de renvoi lors de l’examen de la validité du droit national. |
B. Sur l’article 86 du RGPD
66. |
Par souci d’exhaustivité, je souhaiterais aborder brièvement la disposition de l’article 86 du RGPD dans le cas d’espèce. |
67. |
En vertu de cet article, les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par cette autorité ou cet organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre de ce règlement. |
68. |
Cette disposition ne fait que reconnaître l’importance de l’accès du public aux documents officiels. De plus, comme l’a fait remarquer à juste titre la Commission, cette disposition ne comporte pas plus de précisions quant à la question de savoir de quelle manière l’accès du public aux documents officiels doit être concilié avec les règles en matière de protection des données ( 42 ). Ladite disposition présente un caractère plutôt déclaratoire, qui se rapproche plus d’un considérant que d’une disposition normative d’un texte juridique ( 43 ). En conséquence, je soutiendrais que la « norme narrative » de l’article 86 du RGPD n’a aucune incidence sur l’analyse qui suit. |
C. Première question : les points de pénalité au titre de l’article 10 du RGPD
69. |
Par sa première question, la juridiction de renvoi demande si l’article 10 du RGPD doit être interprété en ce sens qu’il inclut des situations de traitement des informations relatives à des points de pénalité infligés aux conducteurs pour des infractions routières comme le prévoit le droit national. |
70. |
Conformément à cette disposition, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes sur le fondement de l’article 6, paragraphe 1, du RGPD ( 44 ) ne peut être effectué que sous le contrôle de l’autorité publique ( 45 ). Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. |
71. |
Compte tenu du fait que la CSDD semble être une autorité publique, on peut s’interroger sur la pertinence de la première question et se demander si elle est hypothétique au sens de la jurisprudence de la Cour en matière de recevabilité. Néanmoins, je voudrais dissiper ces doutes en soulignant que la présente affaire porte à la fois sur la communication des points de pénalité (par la CSDD) et la réutilisation de ces données par d’autres organismes. Dans la mesure où la première question fait référence à ces autres organismes, elle est, à mon sens, recevable. |
1. Données à caractère personnel
72. |
L’article 4, point 1, du RGPD dispose qu’on entend par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable (ci‑après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. |
73. |
Il n’y a aucune raison de douter que les informations relatives aux points de pénalité infligés aux conducteurs pour des infractions routières constituent des données à caractère personnel au sens de l’article 4, point 1, du RGPD. |
2. … relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes
74. |
S’agissant des « infractions » mentionnées à l’article 10 du RGPD, il convient de relever que la question de savoir si cette disposition ne vise que des infractions pénales ou si elle vise également des infractions administratives n’est pas tout à fait claire dans toutes les versions linguistiques. L’interprétation la plus naturelle et intuitive de la version en langue anglaise est que le terme « criminal » a été placé, pour ainsi dire, avant la parenthèse et se réfère à la fois aux « condamnations » et aux « infractions ». À cet égard, certaines versions linguistiques ( 46 ) ne laissent aucune place au doute : les « infractions » au sens de l’article 10 du RGPD s’entendent comme étant « pénales ». D’autres versions linguistiques ( 47 ) sont ambiguës en ce qu’elles sont susceptibles de faire l’objet de plusieurs interprétations. La version en langue lettone (saistītiem drošības pasākumiem), qui est présumée être la version linguistique que la juridiction de renvoi connaît le mieux, est également ambiguë. Dans cette version, hormis le fait qu’il n’est pas précisé si les « infractions » (pārkāpumi) sont de nature pénale, la question de savoir si les « condamnations » (sodāmība) sont de nature pénale est également laissée ouverte ( 48 ). |
75. |
Même si les versions linguistiques peuvent paraître différentes, des conclusions peuvent néanmoins être tirées à ce stade. |
76. |
Toutes les langues officielles de l’Union constituent les langues authentiques des actes dans lesquelles ils sont rédigés, de telle sorte que toutes les versions linguistiques d’un acte de l’Union doivent, par principe, se voir reconnaître la même valeur ( 49 ). Une interprétation d’une disposition du droit de l’Union implique ainsi une comparaison des différentes versions linguistiques ( 50 ). En outre, les diverses versions linguistiques d’un texte du droit de l’Union doivent être interprétées de façon uniforme ( 51 ). |
77. |
Dans ces conditions, c’est le sens des versions linguistiques les plus « précises » qui doit être considéré comme correct, notamment dans la mesure où ce sens plus précis est également l’une des interprétations possibles dans les versions linguistiques moins précises, dans lesquelles l’une des possibilités est que le terme « infractions » est interprété comme ne revêtant qu’un caractère « pénal ». Je peux donc provisoirement conclure à ce stade que, sur la base d’une lecture comparative des différentes versions linguistiques de l’article 10 du RGPD, le terme « pénal » désigne à la fois les « condamnations » et les « infractions » ( 52 ). |
78. |
En outre, cette proposition d’interprétation de l’article 10 du RGPD conserve la distinction établie dans la disposition antérieure, l’article 8, paragraphe 5, de la directive 95/46. Aux termes de cette disposition antérieure, le contrôle de l’autorité publique était exigé pour le traitement des données relatives aux infractions et condamnations pénales ( 53 ), alors que, pour les sanctions administratives, il existait la possibilité de soumettre le traitement de données au contrôle de l’autorité publique ( 54 ). Si, à l’article 8, paragraphe 5, de cette directive, le terme « infractions » avait été entendu comme incluant les sanctions administratives, le second membre de cette disposition aurait été superflu. |
79. |
Cette conclusion laisse encore ouverte la question de savoir ce qu’il faut entendre exactement par la notion d’« infractions pénales ». |
80. |
La première question qui se pose ici est celle de savoir si cette notion constitue une notion autonome du droit de l’Union ou si son interprétation est laissée à l’appréciation des États membres. |
81. |
Selon une jurisprudence constante de la Cour, il découle des exigences tant de l’application uniforme du droit de l’Union que du principe d’égalité que les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme ( 55 ). Cette interprétation doit tenir compte non seulement des termes de celle‑ci et des objectifs qu’elle poursuit, mais également de son contexte ainsi que de l’ensemble des dispositions du droit de l’Union. La genèse d’une disposition du droit de l’Union peut également revêtir des éléments pertinents pour son interprétation ( 56 ). |
82. |
Il est clair, ici, que, en principe, la législation pénale et les règles de la procédure pénale relèvent de la compétence des États membres ( 57 ). Par conséquent, les États membres seront en mesure de déterminer ce qui constitue une infraction ( 58 ). |
83. |
Toutefois, dès lors que le législateur de l’Union a choisi la forme juridique d’un règlement, par opposition à une directive, je dirais qu’une interprétation uniforme des termes de ce règlement dans toute l’Union devrait être la norme, afin d’en garantir la portée générale et son applicabilité directe dans tous les États membres, conformément à l’article 288, deuxième alinéa, TFUE. |
84. |
Dans le même ordre d’idées, certains éléments indiquent que le législateur de l’Union n’a pas souhaité renvoyer au droit national en ce qui concerne l’interprétation de la notion d’« infractions ». Ainsi, le considérant 13 de la directive 2016/680 ( 59 ) indique que la notion d’« infraction pénale » au sens de cette directive devrait être une notion autonome du droit de l’Union conforme à l’interprétation de la Cour. Dans un esprit a maiore ad minus, je dirais qu’une telle déclaration s’applique également au RGPD qui, comme je l’ai indiqué précédemment, constitue, en tant que règlement, un acte juridique qui possède automatiquement un degré plus élevé d’intégration et de centralisation. |
85. |
La deuxième question, qui consiste à établir si les données à caractère personnel en cause se rapportent à des condamnations et à des infractions pénales ou bien à des mesures de sûreté connexes au sens de l’article 10 du RGPD, est plus épineuse. |
86. |
La Cour a déjà eu l’occasion de se prononcer sur la définition de la notion d’« infraction pénale » dans le cadre du principe non bis in idem ( 60 ) au titre de l’article 50 de la Charte ( 61 ). |
87. |
À cet égard, la Cour fait référence à la jurisprudence de la Cour européenne des droits de l’homme ( 62 ) selon laquelle trois critères sont pertinents pour définir la notion de « procédure pénale » : la qualification juridique de l’infraction en droit interne, la nature même de l’infraction et la nature et le degré de sévérité de la sanction que risque de subir l’intéressé ( 63 ). |
88. |
Des points de pénalité tels que ceux infligés dans le droit national en cause ne sont pas, à mon avis, susceptibles d’être qualifiés d’infraction pénale en vertu de cette jurisprudence, car ils ne remplissent pas ces critères. En particulier, ils ne revêtent pas un caractère très sévère ( 64 ). |
89. |
Enfin, je voudrais souligner que, à la suite de cette analyse, il n’y a pas lieu d’examiner la délimitation entre l’article 10 du RGPD et les dispositions de la directive 2016/680, puisque cette directive n’est pas applicable en l’espèce. |
3. Proposition de réponse
90. |
Je propose donc de répondre à la première question que l’article 10 du RGPD doit être interprété en ce sens qu’il ne couvre pas les situations de traitement des informations relatives aux points de pénalité infligés aux conducteurs pour des infractions routières, prévu par une réglementation nationale telle que l’article 141, paragraphe 2, de la loi sur la circulation routière. |
D. Deuxième question : la communication des points de pénalité
91. |
Par sa deuxième question, la juridiction de renvoi cherche à savoir, en substance, si les dispositions du RGPD s’opposent à ce qu’un État membre traite et communique des informations relatives aux points de pénalité infligés aux conducteurs pour des infractions routières. |
92. |
Bien que la juridiction de renvoi fasse référence, à titre d’exemple, au principe d’intégrité et de confidentialité contenu à l’article 5, paragraphe 1, sous f), du RGPD ( 65 ), la question est formulée dans des termes généraux, puisqu’il y est fait référence aux dispositions de ce règlement dans son ensemble ( 66 ). L’analyse ci‑dessous sera donc étendue à des dispositions du RGPD autres que celles visées par la juridiction de renvoi dans sa question. |
93. |
Tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs à la qualité des données énoncés à l’article 5 du RGPD et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 6 de ce règlement ( 67 ). On peut déduire des termes de ces deux dispositions que les premiers critères sont de nature cumulative ( 68 ) et les seconds de nature alternative ( 69 ). |
94. |
La deuxième question porte sur les principes relatifs à la qualité des données. La juridiction de renvoi semble supposer – à juste titre – que la CSDD traite des données et ne remet pas en cause l’enregistrement des points de pénalité en tant que tel, mais la communication des points sur demande. |
95. |
La CSDD est incontestablement un « responsable du traitement », au sens de l’article 4, point 7, du RGPD, qui traite des données à caractère personnel au sens de l’article 4, point 2, de ce règlement en enregistrant les points de pénalité dans le registre national des véhicules. |
96. |
À cet égard, il suffit de relever que la Cour a jugé, s’agissant d’un « registre des sociétés » public, que, en transcrivant et en conservant des informations dans ce registre, et en communiquant celles‑ci, le cas échéant, sur demande à des tiers, l’autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel » dont elle est le « responsable », au sens de ces définitions fournies dans la directive 95/46 ( 70 ), qui précèdent les définitions données à l’article 4, points 2 et 7, du RGPD ( 71 ). |
1. Sur l’article 5, paragraphe 1, sous f), du RGPD : intégrité et confidentialité
97. |
Ce qui précède soulève la question de savoir si les principes d’intégrité et de confidentialité énoncés à l’article 5, paragraphe 1, sous f), du RGPD, une disposition à laquelle la juridiction de renvoi se réfère elle‑même dans sa question, ont été respectés. |
98. |
Aux termes de l’article 5, paragraphe 1, sous f), du RGPD, les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées. |
99. |
Ainsi qu’il ressort clairement de son libellé, cette disposition concerne la sécurité et les mesures techniques et organisationnelles liées au traitement des données à caractère personnel ( 72 ). Il s’agit ici d’exigences formelles générales concernant la sécurité des données ( 73 ). |
100. |
En revanche, la juridiction de renvoi cherche à obtenir des éclaircissements de nature plus fondamentale et qui ont trait à la possibilité juridique d’effectuer un tel traitement. En d’autres termes, et de manière plus figurative, elle se pose des questions sur « si » le traitement des données à caractère personnel est possible, alors que l’article 5, paragraphe 1, sous f), du RGPD régit le « comment » de ce traitement. En conséquence, l’article 5, paragraphe 1, sous f), du RGPD n’est pas pertinent pour le cas d’espèce. |
2. Sur l’article 5, paragraphe 1, sous a), du RGPD : licéité, loyauté et transparence
101. |
Aux termes de l’article 5, paragraphe 1, sous a), du RGPD, les données à caractère personnel sont traitées de manière licite, loyale et transparente au regard de la personne concernée. |
102. |
Il convient de relever que le terme « licéité » figure à la fois à l’article 5, paragraphe 1, sous a), et à l’article 6 du RGPD. Lire les conditions détaillées de l’article 6 comme étant intégrées à l’article 5 dudit règlement n’aurait guère de sens, du point de vue de la rédaction législative, si l’article 5 devait également contenir les critères de l’article 6 du RGPD. |
103. |
En revanche, la licéité au sens de l’article 5, paragraphe 1, sous a), du RGPD devrait plutôt être lue à la lumière du considérant 40 de ce règlement ( 74 ), qui exige que le traitement des données personnelles soit fondé soit sur le consentement, soit sur une autre base juridique prévue par la loi ( 75 ). |
104. |
Dans ces circonstances (il existe une base juridique en droit national), je ne vois aucune raison de douter de la licéité du traitement dans l’affaire en cause ( 76 ). |
105. |
Je souscris donc aux observations du gouvernement autrichien ( 77 ) selon lesquelles ce principe est dénué de pertinence au regard des faits de l’affaire en cause. |
3. Sur l’article 5, paragraphe 1, sous b) du RGPD : limitation des finalités
106. |
L’article 5, paragraphe 1, sous b), du RGPD pose le principe de la « limitation des finalités » en indiquant que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ( 78 ). |
107. |
La juridiction de renvoi explique que la disposition en cause, à savoir l’article 141, paragraphe 2, de la loi sur la circulation routière, poursuit l’objectif de sécurité routière en exposant les conducteurs qui enfreignent la réglementation. En tant que telle, la communication des points de pénalité apparaît comme un objectif déterminé, explicite et légitime. Par ailleurs, le traitement des données à caractère personnel n’apparaît pas incompatible avec cette finalité. |
4. Sur l’article 5, paragraphe 1, sous c), du RGPD : minimisation des données
108. |
En vertu de l’article 5, paragraphe 1, sous c), du RGPD, le principe de la minimisation des données exige que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. De manière analogue, le considérant 39 de ce règlement précise que les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. |
109. |
Tout comme c’est le cas pour les autres principes consacrés à l’article 5, paragraphe 1, du RGPD, je comprends ce principe comme reflétant le principe de proportionnalité ( 79 ), raison pour laquelle je considère qu’il est approprié d’examiner, à ce stade, la question de savoir si la réglementation nationale en cause est proportionnée à l’objectif qu’elle vise à atteindre. |
110. |
Selon une jurisprudence constante, le principe de proportionnalité, qui fait partie des principes généraux du droit de l’Union, exige que les moyens mis en œuvre par un acte de l’Union soient aptes à réaliser l’objectif visé et n’aillent pas au-delà de ce qui est nécessaire pour l’atteindre ( 80 ). |
111. |
En effet, l’article 141, paragraphe 2, de la loi sur la circulation routière doit être approprié et nécessaire pour poursuivre le but allégué, à savoir l’amélioration de la sécurité routière. |
a) Sur le caractère approprié
112. |
Le premier objectif allégué de la législation nationale en cause est d’identifier les conducteurs de véhicules qui méconnaissent de manière systématique les règles de la circulation routière. Il est clair que l’identification des auteurs d’infractions aux règles de la circulation routière ne dépend nullement du caractère public (généralement disponible) des points de pénalité infligés à l’auteur d’une infraction. Il incombe uniquement à une autorité publique d’identifier précisément ces contrevenants et de tenir un registre des points de pénalité qui leur sont infligés afin que les conséquences juridiques y afférentes en découlent et que les sanctions appropriées puissent être infligées. |
113. |
Le second objectif de la disposition de la loi nationale autorisant la divulgation des données personnelles en cause, invoquée par la Saeima, est d’influencer le comportement des usagers de la route afin de dissuader d’éventuels contrevenants de commettre d’autres infractions. À cet égard, il pourrait être admis que le fait de donner à toute personne la possibilité de savoir qui enfreint les règles de la circulation routière est susceptible d’avoir un certain effet dissuasif : de nombreux conducteurs ne souhaiteront probablement pas que de telles informations les concernant soient divulguées au grand public, afin de ne pas être étiquetés comme des contrevenants. |
114. |
Cet objectif est également clairement énoncé à l’article 431 de la loi sur la circulation routière comme étant l’objectif poursuivi par l’instauration du système des points de pénalité. Il est tout à fait évident que le fait de rendre publics les points de pénalité peut constituer, dans une certaine mesure, un facteur dissuasif supplémentaire. La disposition en cause serait donc, en principe, conforme à l’intérêt général poursuivi, à savoir promouvoir la sécurité routière et éviter les accidents de la route. |
115. |
Cela étant, si les données à caractère personnel en cause sont divulguées uniquement sur demande et à condition que le demandeur fournisse le numéro d’identification personnel de la personne concernée, cela pose la question de savoir dans quelle mesure il est difficile d’obtenir ce numéro. En effet, plus il est difficile d’obtenir de telles données, moins le régime de divulgation sera dissuasif, puisque la question de savoir si ces données sont accessibles au public dépendra d’autres facteurs qui sont difficilement prévisibles. |
116. |
C’est la raison pour laquelle j’éprouve de sérieux doutes sur le caractère approprié de la réglementation nationale en cause. |
117. |
Il appartient à la juridiction de renvoi de déterminer, compte tenu de l’ensemble des circonstances de l’espèce, si l’article 141, paragraphe 2, de la loi sur la circulation routière est réellement apte à atteindre l’objectif légitime d’amélioration de la sécurité routière. |
b) Sur la nécessité
118. |
En ce qui concerne la question de la nécessité, c’est‑à‑dire l’exigence selon laquelle la mesure en cause ne doit pas aller au-delà de ce qui est nécessaire pour atteindre l’objectif poursuivi, la situation apparaît plus claire. |
119. |
Là encore, il appartient à la juridiction de renvoi de décider, compte tenu de l’ensemble des circonstances de l’espèce, si la disposition litigieuse est réellement nécessaire. Toutefois, sur la base des informations disponibles, je ne vois pas comment la disposition litigieuse pourrait, de quelque manière que ce soit, être considérée comme nécessaire. |
120. |
Bien que l’objectif de promotion de la sécurité routière soit important, il est nécessaire de parvenir à un juste équilibre entre les différents intérêts en présence et, par conséquent, il appartient au législateur national de décider si la divulgation des données à caractère personnel en cause va au-delà de ce qui est nécessaire pour atteindre les objectifs légitimes poursuivis, eu égard notamment à la violation des droits fondamentaux générée par une telle divulgation. |
121. |
La décision de renvoi ne précise pas si la Saeima, avant l’adoption de la disposition litigieuse, a examiné d’autres moyens pour atteindre l’objectif de promotion de la sécurité routière qui auraient été moins attentatoires aux droits des personnes physiques à la protection des données. En outre, le législateur doit être en mesure de démontrer que les dérogations et les limitations à la protection des données respecteraient strictement les limites imposées. Une évaluation attentive de l’impact sur la protection des données devrait être effectuée avant la publication d’une série de données (ou avant l’adoption d’une loi imposant leur publication), laquelle comprend une appréciation des possibilités de réutilisation et de l’incidence éventuelle d’une réutilisation. |
122. |
L’existence et l’exactitude de ces informations sont indispensables pour déterminer si les objectifs de promotion de la sécurité routière et de réduction des accidents de la route peuvent être atteints par des mesures moins attentatoires aux droits des personnes concernées et éviter ainsi ou, à tout le moins, atténuer une violation de la protection conférée par l’article 8 de la Charte. |
123. |
L’atteinte à la vie privée causée par la publication de données relatives à des infractions et sanctions infligées est, en elle‑même, particulièrement grave : elle divulgue au grand public des informations relatives à des infractions commises par une personne physique. Par ailleurs, il ne saurait être exclu qu’un tel traitement de données inhérent à la publication des données en cause puisse aboutir à une stigmatisation de l’auteur de l’infraction et à d’autres conséquences négatives. Dès lors, de telles « listes noires » doivent être réglementées strictement. |
124. |
Enfin, ainsi que l’a souligné l’autorité de la protection des données, le caractère préventif de la disposition en cause et les statistiques indiquant des tendances favorables, à savoir une diminution du nombre d’accidents de la circulation, ne démontrent pas que cette réduction est liée à l’introduction du système des points de pénalité en tant que telle ou au fait que les informations relatives aux points de pénalité infligés sont accessibles au public. |
5. Proposition de réponse
125. |
Ma proposition à la Cour quant à la réponse à donner à la deuxième question est donc que l’article 5, paragraphe 1, sous c), du RGPD s’oppose à une réglementation nationale telle que l’article 141, paragraphe 2, de la loi sur la circulation routière, qui permet le traitement et la communication d’informations relatives aux points de pénalité infligés aux conducteurs pour des infractions routières. |
E. Troisième question : réutilisation des données à caractère personnel
1. La directive 2003/98
126. |
Comme énoncé à l’article 1er, paragraphe 1, de la directive 2003/98, celle‑ci fixe un ensemble minimal de règles concernant la réutilisation et les moyens pratiques destinés à faciliter la réutilisation de documents existants détenus par des organismes du secteur public des États membres. |
127. |
On peut supposer, aux fins de la présente analyse, que, en Lettonie, les points de pénalité sont inscrits dans des documents détenus par la CSDD en tant qu’organisme du secteur public au sens de l’article 1er, paragraphe 1, de la directive 2003/98. |
128. |
Toutefois, nous ne nous situons pas dans le champ d’application de la directive 2003/98, étant donné que l’article 1er, paragraphe 2, sous c) quater, de celle‑ci indique que cette directive ne s’applique pas aux documents dont l’accès est exclu ou limité conformément aux règles d’accès pour des motifs de protection des données à caractère personnel ( 81 ). En outre, en vertu de son article 1er, paragraphe 4, cette directive laisse intact et n’affecte en rien le niveau de protection des personnes à l’égard du traitement des données à caractère personnel garanti par les dispositions du droit de l’Union et du droit national et, en particulier, ne modifie en rien les droits et les obligations prévus par le RGPD ( 82 ). |
129. |
Il découle de ces dispositions que le traitement des données à caractère personnel en cause doit être apprécié à la lumière des règles de l’Union en matière de protection des données, à savoir le RGPD et non pas la directive 2003/98 ( 83 ). |
2. Sur la réutilisation
130. |
Ainsi que le relève à juste titre la juridiction de renvoi, si les informations relatives aux points de pénalité infligés aux conducteurs pour des infractions routières peuvent être communiquées à toute personne, y compris à des réutilisateurs commerciaux, il ne serait pas possible d’identifier les finalités du traitement ultérieur des données ni d’évaluer si des données à caractère personnel sont traitées d’une manière qui est incompatible avec ces finalités. |
131. |
Dans ces conditions, mon analyse de la deuxième question préjudicielle est entièrement applicable non seulement mutatis mutandis, mais également a fortiori : les sociétés privées pourraient être tentées d’exploiter les données personnelles à des fins commerciales, c’est‑à‑dire à des fins incompatibles avec la finalité du traitement, qui est d’améliorer la sécurité routière. |
132. |
Par ailleurs, la possibilité que des tiers soient en mesure de traiter les données à caractère personnel va clairement au-delà de la limitation des finalités établie à l’article 5, paragraphe 1, sous b), du RGPD. |
3. Proposition de réponse
133. |
Par conséquent, je propose de répondre à la troisième question en ce sens qu’une réglementation nationale telle que l’article 141, paragraphe 2, de la loi sur la circulation routière, qui permet le traitement et la communication, y compris à des fins de réutilisation, des informations relatives aux points de pénalité infligés aux conducteurs de véhicules, n’est pas régie par les dispositions de la directive 2003/98. Par ailleurs, l’article 5, paragraphe 1, sous c), du RGPD s’oppose à une telle disposition. |
F. Quatrième question
134. |
Par sa quatrième question, la juridiction de renvoi souhaite savoir si, dans l’hypothèse où il serait établi que la réglementation nationale en cause est contraire au droit de l’Union, il était possible d’appliquer la disposition litigieuse et de maintenir les effets juridiques de celle‑ci jusqu’à ce que la Satversmes tiesa (Cour constitutionnelle) ait statué définitivement. |
135. |
La juridiction de renvoi demande donc que les effets juridiques de la disposition litigieuse soient maintenus jusqu’à ce qu’elle ait statué définitivement. |
136. |
Selon une jurisprudence constante, l’interprétation que la Cour donne d’une règle de droit de l’Union, dans l’exercice de la compétence que lui confère l’article 267 TFUE, éclaire et précise la signification et la portée de cette règle, telle qu’elle doit ou aurait dû être comprise et appliquée depuis la date de son entrée en vigueur ( 84 ). Il s’ensuit que la règle ainsi interprétée peut et doit être appliquée par le juge à des rapports juridiques nés et constitués avant l’arrêt statuant sur la demande d’interprétation, si, par ailleurs, les conditions permettant de porter devant les juridictions compétentes un litige relatif à l’application de ladite règle se trouvent réunies ( 85 ). Ce n’est qu’à titre tout à fait exceptionnel que la Cour peut, par application du principe général de sécurité juridique inhérent à l’ordre juridique de l’Union, être amenée à limiter la possibilité pour tout intéressé d’invoquer une disposition qu’elle a interprétée en vue de mettre en cause des relations juridiques établies de bonne foi ( 86 ). |
137. |
En tout état de cause, les conditions d’une suspension éventuelle ne pourraient être déterminées que par la seule Cour ( 87 ), et ce pour une bonne raison : s’il en était autrement, une juridiction nationale pourrait reporter les effets de cet arrêt, portant ainsi atteinte à son effet erga omnes, dont l’objectif principal est d’assurer l’application uniforme du droit de l’Union et la sécurité juridique dans tous les États membres, et de créer des règles du jeu équitables pour les États membres, les citoyens et les opérateurs économiques. À cet égard, les règles de droit national, fussent-elles d’ordre constitutionnel, ne sauraient porter atteinte à l’unité et à l’efficacité du droit de l’Union ( 88 ). |
138. |
Pour pouvoir imposer une telle limitation, il est nécessaire que deux critères essentiels soient réunis, à savoir la bonne foi des milieux intéressés et le risque de troubles graves ( 89 ). |
139. |
Il convient d’ajouter que ce n’est qu’à titre exceptionnel ( 90 ) que la Cour a eu recours à cette solution et ce uniquement dans des circonstances bien précises : lorsqu’il existait un risque de répercussions économiques graves dues, en particulier, au nombre élevé de rapports juridiques constitués de bonne foi sur la base de la réglementation considérée comme étant validement en vigueur et qu’il apparaissait que les particuliers et les autorités nationales avaient été incités à adopter un comportement non conforme au droit de l’Union en raison d’une incertitude objective et importante quant à la portée des dispositions du droit de l’Union, incertitude à laquelle avaient éventuellement contribué les comportements mêmes adoptés par d’autres États membres ou par l’Union ( 91 ). |
140. |
En l’occurrence, les éléments mentionnés dans la décision de renvoi ne permettent pas de conclure qu’un grand nombre de rapports juridiques de bonne foi, fondés sur la disposition litigieuse, auraient été affectés et, par conséquent, qu’il serait particulièrement difficile d’assurer le respect ex tunc de la décision préjudicielle de la Cour déclarant cette disposition incompatible avec le droit de l’Union. |
141. |
Il n’y a, par conséquent, aucune raison de limiter dans le temps les effets du présent arrêt. |
142. |
Je propose donc de répondre à la quatrième question en ce sens qu’il n’est pas possible d’appliquer la disposition litigieuse et de maintenir ses effets juridiques jusqu’à ce que la Satversmes tiesa (Cour constitutionnelle) ait statué définitivement. |
V. Conclusion
143. |
Compte tenu de ce qui précède, je propose à la Cour de répondre aux questions posées par la Satversmes tiesa (Cour constitutionnelle, Lettonie) de la manière suivante :
|
( 1 ) Langue originale : l’anglais.
( 2 ) Voir Tribune du 8 novembre 1946.
( 3 ) Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 4 ) Arrêt du 12 novembre 1969 (29/69, EU:C:1969:57, point 7).
( 5 ) Et sans aucun doute la première affaire en matière de droits fondamentaux dans l’ordre juridique de l’Union.
( 6 ) Directive du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public (JO 2003, L 345, p. 90), telle que modifiée par la directive 2013/37/UE du Parlement européen et du Conseil, du 26 juin 2013 (JO 2013, L 175, p. 1) (ci‑après la « directive 2003/98 »).
( 7 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).
( 8 ) Convention de Berne pour la protection des œuvres littéraires et artistiques, Acte de Paris du 24 juillet 1971, modifié le 28 septembre 1979.
( 9 ) L’accord sur les ADPIC (accord sur les aspects des droits de propriété intellectuelle qui touchent au commerce) constitue l’annexe 1C de l’accord instituant l’Organisation mondiale du commerce (accord de l’OMC) approuvé au nom de la Communauté, pour ce qui concerne les matières relevant de ses compétences, par décision du Conseil 94/800/CE, du 22 décembre 1994, relative à la conclusion au nom de la Communauté européenne, pour ce qui concerne les matières relevant de ses compétences, des accords des négociations multilatérales du cycle de l'Uruguay (1986-1994) (JO 1994, L 336, p. 1).
( 10 ) Dans la version modifiée qui est entrée en vigueur le 10 mai 2018.
( 11 ) Ministru kabineta 2004. gada 21. jūnija noteikumi Nr.551 « Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi » (décret no 551 du Conseil des ministres, du 21 juin 2004, « Règles de mise en œuvre du système des points de pénalité »).
( 12 ) Aussi paradoxal que cela puisse paraître, la formulation « champ d’application du droit de l’Union » contenue à l’article 2, paragraphe 2, sous a), du RGPD est tout sauf claire dans le contexte du RGPD ; voir Wolff, H. A., dans M. Pechstein, C. Nowak, U. Häde (éd.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band II, Mohr Siebeck, Tübingen, 2017, article 16 AEUV, point 19.
( 13 ) À savoir le traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi que le traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
( 14 ) En ce qui concerne l’article 3, paragraphe 2, de la directive 95/46, la Cour a constamment jugé qu’il en allait de même ; voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 37 et jurisprudence citée). Voir, également, Sobotta, Chr., dans E. Grabitz, M. Hilf et M. Nettesheim, Das Recht der Europäischen Union, 71. EL., mis à jour en août 2020, C. H. Beck, Munich, article 16 TFUE, point 22, qui souligne le vaste champ d’application ratione materiae du régime de l’Union en matière de protection des données.
( 15 ) Voir également, à cet égard, Hatje, A., dans J. Schwarze, U. Becker, A. Hatje et J. Schoo (éd.), EU-Kommentar, 4e édition, Nomos, Baden-Baden, 2019, article 16, point 10, et Brühann, U., dans H. von der Groeben, J. Schwarze et A. Hatje (éd.), Europäisches Unionsrecht (Kommentar), Band 1, 7e édition, Nomos, Baden Baden, 2015, article 16 TFUE, point 130.
( 16 ) Sur les « dispositions d’application générale ».
( 17 ) Voir, en ce qui concerne la directive 95/46, à titre d’exemple, arrêts du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 66), et du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 35).
( 18 ) La logique initiale relative au marché intérieur qui sous-tend le régime de l’Union régissant la protection des données continue à exister à côté de la protection des données en tant que telle. Comme reflété déjà dans son titre et défini dans son article 1er, l’objet et les objectifs du RGPD sont doubles : fixer les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ainsi que les règles relatives à la libre circulation des données à caractère personnel. De plus, le considérant 13 de ce règlement précise qu’il convient d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur et que, pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
( 19 ) Mise en italique par mes soins.
( 20 ) Cette disposition définit le champ d’application de la Charte.
( 21 ) Mise en italique par mes soins.
( 22 ) Voir, par exemple, Zerdick, Th., dans E. Ehmann et M. Selmayr (éd.), Datenschutz‑Grundverordnung, Kommentar, C. H. Beck, Munich, 2e édition, 2018, article 2, point 5.
( 23 ) Il s’agit là d’une jurisprudence constante depuis l’arrêt du 26 février 2013, Åkerberg Fransson (C‑617/10, EU:C:2013:105, point 21). Voir, également, arrêts du 21 décembre 2016, AGET Iraklis (C‑201/15, EU:C:2016:972, point 62) ; du 21 mai 2019, Commission/Hongrie (Usufruits sur terres agricoles) (C-235/17, ET:C:2019:432, point 63), ainsi que du 24 septembre 2020, YS (Pensions d’entreprise de personnel cadre) (C‑223/19, EU:C:2020:753, point 78).
( 24 ) Je dirais que le libellé de l’article 2, paragraphe 2, sous a), du RGPD est peu concluant. Conformément à une jurisprudence constante de la Cour, lors de l’interprétation d’une disposition du droit de l’Union, il convient de tenir compte non seulement de son libellé, mais aussi de son contexte et des objectifs de la réglementation dont elle fait partie et, en particulier, l’origine de cette réglementation ; voir, à titre d’exemple, arrêt du 17 avril 2018, Egenberger (C‑414/16, EU:C:2018:257, point 44 et jurisprudence citée).
( 25 ) Voir, en ce sens, également, Lubasz, D., dans D. Lubasz (éd.), Ochrona danych osobowych, Wolters Kluwer, Varsovie, 2020, point 92.
( 26 ) Et cela était également vrai auparavant en ce qui concerne l’article 114 TFUE.
( 27 ) Voir article 10 du RGPD.
( 28 ) En particulier si l’on considère qu’un numéro d’identification national est généralement attribué au moment de l’inscription officielle d’une naissance, un domaine qui n’est pas généralement lié à une compétence de l’Union.
( 29 ) Voir déclaration no 20 annexée à l’acte final de la conférence intergouvernementale qui a adopté le traité de Lisbonne, signé le 13 décembre 2007.
( 30 ) En raison de l’article 94, paragraphe 2, du RGPD, les références à la directive 95/46 s’entendent comme des références à ce règlement.
( 31 ) Voir article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37). Voir, en ce qui concerne cette disposition, arrêt du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54, point 49).
( 32 ) Notamment celles qui ont pour objet d’assurer son intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale.
( 33 ) Voir, pour ce terme, Franzius, C., dans M. Pechstein, C. Nowak et U. Häde (éd.), Frankfurter Kommentar zu EUV, GRC und AEUV, Band I, Mohr Siebeck, Tübingen, 2017, article 4 TUE, point 50 : « Staatsfunktionengarantie ».
( 34 ) Voir article 2, paragraphe 2, sous b), du RGPD.
( 35 ) Voir article 2, paragraphe 2, sous c), du RGPD.
( 36 ) Voir article 2, paragraphe 2, sous d), du RGPD.
( 37 ) En outre, l’article 39 TUE prévoit une base juridique spécifique pour le traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent de la politique étrangère et de sécurité commune. Par conséquent, la distinction par « piliers » a été maintenue sur ce point avec le traité de Lisbonne, voir Lynskey, O., The Foundations of EU Data Protection Law, OUP, Oxford, 2015, p. 18.
( 38 ) Voir directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).
( 39 ) Voir, par ailleurs, arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 102).
( 40 ) Pour ne donner qu’un seul exemple, la Cour n’a donc pas examiné activement si les activités bénévoles ou religieuses relevaient du champ d’application du droit de l’Union [voir arrêt du 6 novembre 2003, Lindqvist (C‑101/01, EU:C:2003:596, point 48)].
( 41 ) Voir arrêt du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 42).
( 42 ) Dans la doctrine juridique, voir, également, Kranenborg, H., dans Chr. Kuner, L.A. Bygrave et Chr. Docksey (éd.), The EU General Data Protection Regulation (GDPR), OUP, Oxford, 2020, article 86, A., p. 1214. Voir, également, Pauly, D.A., dans B.P. Paal et D.A. Pauly, Datenschutz-Grundverordnung, Bundesdatenschutzgesetz, C.H. Beck, Munich, 2018, article 86 DS-GVO, point 9.
( 43 ) Voir également, à cet égard, Kranenborg, H., op. cit., article 86, C.1., p. 1217, y compris note en bas de page 14. Le même auteur indique à juste titre que, dans la proposition initiale de la Commission, seul un considérant était inclus à ce sujet, mais aucune disposition ne l’était.
( 44 ) Selon cette disposition, si la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques, le traitement est licite dans la limite du consentement accordé.
( 45 ) Ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées.
( 46 ) Telles que les versions en langues espagnole (condenas e infracciones penales), allemande (strafrechtliche Verurteilungen und Straftaten), italienne (condanne péni e […] reati), lituanienne (apkaltinamuosius nuosprendžius ir nusikalstamas veikas), maltaise (kundanni kriminali u reati) et néerlandaise (strafrechtelijke veroordelingen en strafbare feiten).
( 47 ) Telles que les versions en langues française (condamnations pénales et […] infractions), polonaise (wyroków skazujących oraz naruszeń prawa), portugaise (condenações penais e infrações) et roumaine (condamnări penale și infracțiuni).
( 48 ) En réalité, à la simple lecture du texte, même les « condamnations » pourraient théoriquement revêtir un caractère administratif.
( 49 ) Voir, à titre d’exemple, arrêt du 25 juin 2020, A e.a. (Éoliennes à Aalter et à Nevele) (C‑24/19, EU:C:2020:503, point 39 et jurisprudence citée).
( 50 ) Voir arrêt du 6 octobre 1982, Cilfit e.a. (283/81, EU:C:1982:335, point 18).
( 51 ) Voir, à titre d’exemple, arrêts du 30 mai 2013, Genil 48 et Comercial Hostelera de Grandes Vinos (C‑604/11, EU:C:2013:344, point 38), et du 6 septembre 2012, Parlement/Conseil (C‑490/10, EU:C:2012:525, point 68).
( 52 ) Voir, en ce sens, également Kawecki, M., et Barta, P., dans P. Litwiński (éd.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C. H. Beck, Varsovie, 2018, article 10, point 3.
( 53 ) « Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique […] » Mise en italique par mes soins.
( 54 ) « Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l’autorité publique. » Mise en italique par mes soins.
( 55 ) Voir, à titre d’exemple, arrêt du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, point 47 et jurisprudence citée).
( 56 ) Voir arrêt du 1er octobre 2019, Planet49 (C‑673/17, EU:C:2019:801, point 47 et jurisprudence citée).
( 57 ) Voir arrêt du 17 septembre 2020, JZ (Peine d’emprisonnement en cas d’interdiction d’entrée) (C‑806/18, EU:C:2020:724, point 26 et jurisprudence citée).
( 58 ) Voir également, en ce sens, Georgieva, L., The EU General Data Protection Regulation (GDPR), op. cit., article 10, C.1., p. 388, et Schiff, A., Datenschutz‑Grundverordnung, Kommentar, op. cit., article 10, point 4.
( 59 ) Laquelle, d’ailleurs, a été adoptée le même jour que le RGPD.
( 60 ) Le droit à ne pas être jugé ou puni pénalement deux fois pour une même infraction.
( 61 ) Voir, également, les conclusions instructives de l’avocate générale Kokott dans l’affaire Bonda (C‑489/10, EU:C:2011:845, points 32 et suiv.).
( 62 ) Voir arrêts de la Cour EDH du 8 juin 1976, Engel et autres c. Pays‑Bas (CE:ECHR:1976:0608JUD000510071, points 80 à 82), et du 10 février 2009, Sergueï Zolotoukhine c. Russie (CE:ECHR:2009:0210JUD001493903, points 52 et 53).
( 63 ) Voir arrêt du 5 juin 2012, Bonda (C‑489/10, EU:C:2012:319), point 37).
( 64 ) Étant donné qu’il s’agit en l’espèce de points de pénalité qui, comme on l’a vu, ne revêtent pas un caractère sévère, cette constatation n’est pas remise en cause par l’arrêt du 14 novembre 2013, Baláž (C‑60/12, EU:C:2013:733), qui porte sur la notion plus vaste et plus générale de « juridiction ayant compétence notamment en matière pénale » en ce qui concerne les infractions routières en général et non pas seulement en ce qui concerne les points de pénalité dans le contexte de la décision-cadre 2005/214/JAI du Conseil, du 24 février 2005, concernant l’application du principe de reconnaissance mutuelle aux sanctions pécuniaires (JO 2005, L 76, p. 16).
( 65 ) Lequel, comme nous le verrons dans les présentes conclusions, n’est, en tout état de cause, pas applicable en l’espèce.
( 66 ) Dans ce contexte, on pourrait légitimement s’interroger sur le respect des exigences de l’article 94, point c), du règlement de procédure de la Cour, sous peine d’irrecevabilité.
( 67 ) Voir arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 57 et jurisprudence citée).
( 68 ) L’article 5 du RGPD est formulé de manière prescriptive (« doivent ») et les différents principes sont liés par des points-virgules, ce qui implique un « et » et non pas un « ou ».
( 69 ) L’article 6 du RGPD fait référence à « au moins une des conditions ».
( 70 ) Voir arrêt du 9 mars 2017, Manni (C‑398/15, EU:C:2017:197, point 35).
( 71 ) Article 2, sous b) et d), de la directive 95/46.
( 72 ) Ce principe fait l’objet d’un développement plus approfondi à la section 2 du chapitre IV du RGPD (articles 32 à 34).
( 73 ) Voir également, à cet effet, Pötters, St., dans P. Gola (éd.), Datenschutz-Grundverordnung VO (EU) 2016/679, Kommentar, C. H. Beck, Munich, 2e éd., 2018, article 5, point 29.
( 74 ) Selon ce considérant, pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le RGPD, soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit ledit règlement, y compris la nécessité de respecter l’obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.
( 75 ) Voir également, à cet égard, Herbst, T., dans J. Buchner et B. Kühling (éd.), Datenschutz‑Grundverordnung/BDSG, Kommentar, 2e éd, C. H. Beck, Munich, 2018, Art. 5 DS-GVO, point 11, et Pötters, St., op. cit., article 5, point 6. Pour une meilleure compréhension de la licéité comme exigeant le respect de l’ensemble des dispositions du RGPD, voir Lubasz, D., dans D. Lubasz (éd.), Ochrona danych osobowych, Wolters Kluwer, Varsovie, 2020, point 186.
( 76 ) Et même si l’on considère qu’il convient de vérifier les conditions énoncées à l’article 6 du RGPD dans le cadre de l’article 5 de ce règlement, je considérerais également que le traitement est licite au sens de l’article 6, paragraphe 1, sous c), du RGPD, en tant que traitement qui est nécessaire pour respecter une obligation légale à laquelle est soumis le responsable du traitement, étant donné que la CSDD, en communiquant les points de pénalité au public, remplit l’obligation légale qui lui est imposée par le droit national.
( 77 ) En ce qui concerne la référence par le gouvernement autrichien à cet égard à l’arrêt du Bundesverfassungsgericht (Cour constitutionnelle fédérale, Allemagne) du 27 février 2008 [1 BvR 370/07 et 1 BvR 595/07 (ECLI:DE:BVerfG:2008:rs20080227.1bvr037007), BVerfGE 120, 274 et suiv., p. 314, disponible à l’adresse suivante : http://www.bverfg.de/e/rs20080227_1bvr037007en.html], j’ai plus de doutes quant à sa pertinence étant donné que cet arrêt concerne un droit fondamental matériel, alors que l’article 5, paragraphe 1, sous f), du RGPD concerne, ainsi qu’il a été établi dans les points précédents des présentes conclusions, des exigences formelles.
( 78 ) Cette disposition indique ensuite que le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, du RGPD, comme incompatible avec les finalités initiales.
( 79 ) Voir, à cet égard, Lubasz, D., dans D. Lubasz (éd.), Ochrona danych osobowych, Wolters Kluwer, Varsovie, 2020, point 202.
( 80 ) Voir, à titre d’exemple, arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert (C‑92/09 et C‑93/09, EU:C:2010:662, point 74 et jurisprudence citée).
( 81 ) Cette disposition a été ajoutée dans la directive 2003/98 en 2013 ; voir article 1er, point 1, sous a), iii), de la directive 2013/37/UE du Parlement européen et du Conseil, du 26 juin 2013, modifiant la directive 2003/98 (JO 2013, L 175, p. 1 à 8).
( 82 ) L’article 1er, paragraphe 4, de la directive 2003/98 fait référence, à cet égard, à la directive 95/46.
( 83 ) Quant à la directive (UE) 2019/1024 du Parlement européen et du Conseil, du 20 juin 2019, concernant les données ouvertes et la réutilisation des informations du secteur public (JO 2019, L 172, p. 56), laquelle abroge, en vertu de son article 19, la directive 2003/98 avec effet au 17 juillet 2021, voir article 1er, paragraphe 2, sous f), de la directive 2019/1024.
( 84 ) C’est ce que l’on appelle communément l’effet ex tunc des décisions préjudicielles au titre de l’article 267 TFUE.
( 85 ) Voir, à titre d’exemple, arrêts du 29 septembre 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, point 44), et du 28 octobre 2020, Bundesrepublik Deutschland (Détermination des taux des péages pour l’utilisation d’autoroutes) (C‑321/19, EU:C:2020:866, point 54).
( 86 ) Voir, à titre d’exemple, arrêts du 29 septembre 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, point 45), et du 28 octobre 2020, Bundesrepublik Deutschland (Détermination des taux des péages pour l’utilisation d’autoroutes) (C‑321/19, EU:C:2020:866, point 55).
( 87 ) Voir arrêts du 8 septembre 2010, Winner Wetten (C‑409/06, EU:C:2010:503, point 67), et du 19 novembre 2009, Filipiak (C‑314/08, EU:C:2009:719, point 84). Voir, également, arrêt du 6 mars 2007, Meilicke e.a. (C‑292/04, EU:C:2007:132, point 36 et jurisprudence citée).
( 88 ) Voir arrêts du 17 décembre 1970, Internationale Handelsgesellschaft (11/70, EU:C:1970:114, point 3), et du 8 septembre 2010, Winner Wetten (C‑409/06, EU:C:2010:503, point 61).
( 89 ) Voir, à titre d’exemple, arrêts du 29 septembre 2015, Gmina Wrocław (C‑276/14, EU:C:2015:635, point 45), et du 28 octobre 2020, Bundesrepublik Deutschland (Détermination des taux des péages pour l’utilisation d’autoroutes) (C‑321/19, EU:C:2020:866, point 55).
( 90 ) Voir, également, Lenaerts, K., Maselis, I., et Gutman, K., EU Procedural Law, Oxford University Press, Oxford, 2014, point 6.34, p. 247.
( 91 ) Voir, à titre d’exemple, arrêt du 16 septembre 2020, Romenergo et Aris Capital (C‑339/19, EU:C:2020:709, point 49 et jurisprudence citée).