1.

« Nous attachons de l’importance au respect de votre vie privée. Nous utilisons des cookies pour améliorer l’expérience de navigation de l’utilisateur. Veuillez consulter nos politiques en matière de respect de la vie privée et des cookies » ( 2 ).

2.

Un message similaire surgit à l’occasion de la consultation de tout site Internet.

3.

Telle est la conséquence du règlement général sur la protection des données (ci-après le « RGPD ») ( 3 ), qui est devenu le principal instrument de protection des données à caractère personnel dans l’Union européenne.

4.

Le RGPD surgit-il également devant les juridictions nationales ? Plus particulièrement, s’applique-t-il aux obligations de divulgation dans le cadre d’une procédure civile devant une juridiction nationale ? Dans l’affirmative, quelles obligations impose-t-il à ces juridictions ? Telles sont les problématiques que la Cour est invitée à clarifier dans la présente affaire.

5.

Ces questions ont été soulevées dans le cadre d’un litige pendant devant la juridiction de renvoi, le Högsta domstolen (Cour suprême, Suède). Les faits à l’origine du litige peuvent être résumés comme suit. Norra Stockholm Bygg AB (ci-après « Fastec »), partie requérante au principal, a réalisé la construction d’un immeuble de bureaux pour Per Nycander AB (ci-après « Nycander »), partie défenderesse au principal. Les salariés travaillant sur ce chantier ont enregistré leur présence au moyen d’un registre électronique à des fins fiscales. Ce registre était fourni par la société Entral AB (ci-après « Entral »), agissant pour le compte de Fastec.

6.

La procédure au principal a débuté par un litige portant sur le paiement des travaux effectués. Nycander s’opposait à la demande de paiement de Fastec [d’une somme d’environ 2000000 couronnes suédoises (SEK) (environ 190133 euros)] en faisant valoir que Fastec n’avait pas travaillé autant d’heures que ce qui était réclamé.

7.

Pour prouver que tel était bien le cas, Nycander a demandé que Entral communique le registre du personnel qu’elle tenait pour le compte de Fastec. Fastec s’est opposée à cette demande en faisant valoir qu’une telle divulgation violerait le RGPD, les données demandées ayant été collectées à une autre fin et ne pouvant servir de preuve dans l’affaire au principal.

8.

Le tingsrätt (tribunal de première instance, Suède) a enjoint à Entral de communiquer ce registre et cette décision a été confirmée en appel par le Svea hovrätt (cour d’appel siégeant à Stockholm, Suède).

9.

Fastec a formé un pourvoi contre ladite décision devant le Högsta domstolen (Cour suprême) en lui demandant de rejeter la demande d’injonction de Nycander et, à titre subsidiaire, d’enjoindre qu’une version anonymisée du registre du personnel soit communiquée. C’est dans le cadre de cette procédure que le Högsta domstolen (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

10.

Au cours de la procédure, Fastec, les gouvernements suédois, tchèque et polonais ainsi que la Commission européenne ont présenté des observations écrites. Nycander, les gouvernements suédois et tchèque ainsi que la Commission ont pris part à l’audience qui s’est tenue le 27 juin 2022.

11.

L’article 5 du RGPD détermine les principes que tout traitement de données à caractère personnel doit respecter :

« 1.   Les données à caractère personnel doivent être :

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

12.

L’article 6 du RGPD, intitulé « Licéité du traitement », dispose, à ses paragraphes 1, 3 et 4, ce qui suit :

« 1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[...]

[...]

[...]

3.   Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4.   Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

13.

En outre, l’article 23, paragraphe 1, du RGPD réglemente les restrictions aux droits et obligations découlant du RGPD :

« 1.   Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

[...]

[...] »

14.

L’article 2, premier alinéa, du chapitre 38 du rättegångsbalken (code de procédure judiciaire, ci-après le « RB ») prévoit que quiconque détient un acte susceptible de présenter une importance en tant qu’élément de preuve est tenu de le communiquer. Le second alinéa de cette disposition prévoit des exceptions à une telle obligation, en ce qui concerne notamment les avocats, les médecins, les psychologues, les prêtres et les autres fonctionnaires auxquels des informations ont été communiquées dans l’exercice de leurs fonctions ou dans des circonstances similaires. L’article 4, du chapitre 38 du RB confère au tribunal le pouvoir d’enjoindre la communication d’un acte en tant qu’élément de preuve.

15.

Selon la juridiction de renvoi, lorsqu’il s’agit d’examiner si une personne doit être tenue de produire un document, la juridiction doit mettre en balance la pertinence des éléments de preuve et l’intérêt de la partie adverse à ne pas divulguer les informations. Toutefois, ainsi que l’explique la juridiction de renvoi, cela n’implique pas la prise en compte de la nature privée des informations divulguées.

16.

Le RGPD est le principal acte de l’Union régissant la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. À la différence de la directive 95/46/CE ( 4 ) qui l’a précédé, le RGPD a été adopté sur le fondement de l’article 16 TFUE ( 5 ). Cette base juridique habite le législateur de l’Union à garantir le droit fondamental à la protection des données à caractère personnel, prévu à l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ( 6 ).

17.

Lorsque des données à caractère personnel sont traitées, le RGPD met à la charge du « responsable du traitement [des données] » la responsabilité d’assurer son respect ( 7 ). Il importe donc d’établir qui est le responsable du traitement dans chaque cas de traitement de données à caractère personnel.

18.

Conformément à l’article 4, point 7, du RGPD, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement de données à caractère personnel.

19.

En l’espèce, il y a eu deux cas distincts de traitement de données à caractère personnel. Le premier traitement concerne le registre électronique du personnel tenu par Entral pour le compte de Fastec, cette dernière étant soumise à une obligation, prévue par le droit suédois, de collecter, à des fins fiscales, des données sur les heures de travail effectuées. Dans ce contexte, Fastec est le responsable du traitement et Entral est le sous-traitant ( 8 ).

20.

Il n’est pas contesté que ce premier traitement respecte le RGPD. En particulier, l’article 6, paragraphe 1, sous c), du RGPD permet un traitement de données à caractère personnel nécessaire au respect d’une obligation légale à laquelle le responsable du traitement, en l’occurrence Fastec, est soumis ( 9 ). Certes, si ce premier traitement était déclaré illicite au regard du RGPD, le traitement de telles données (à une autre fin) deviendrait certainement, par extension, également illicite ( 10 ).

21.

Toutefois, l’intérêt de la présente affaire réside dans le second traitement (à une autre fin) des mêmes données, qui avaient initialement été collectées à des fins fiscales. Cette nouvelle fin est la communication, par Entral, du registre du personnel comme élément de preuve dans le cadre de la procédure civile opposant Fastec à Nycander. La communication de ce registre dans le cadre d’une procédure civile impliquerait nécessairement un traitement de données à caractère personnel.

22.

Dans le cadre de ce second traitement, les rôles au titre du RGPD sont autrement distribués que dans le cadre du premier traitement. Le plus important est qu’en enjoignant à Entral de communiquer le registre du personnel (ci-après l’« injonction de communication »), la juridiction nationale devient l’entité qui détermine les finalités et les moyens du second traitement des données ( 11 ). Cette juridiction devient donc le responsable du traitement des données ( 12 ).

23.

Dans le cadre de ce second traitement, l’on pourrait considérer Fastec comme demeurant le responsable du traitement ou comme étant investie d’un autre rôle : celui du destinataire de données, qu’elle exercerait conjointement avec Nycander ( 13 ). Toutefois, quand bien même Fastec demeurait le responsable du traitement conjointement avec la juridiction nationale ( 14 ), les obligations de la juridiction nationale en sa qualité de responsable du traitement n’en seraient pas pour autant affectées ( 15 ). Enfin, le rôle d’Entral reste inchangé. Elle demeure le sous‑traitant et continue à traiter les mêmes données à caractère personnel, mais pour le compte du nouveau responsable du traitement, à savoir la juridiction nationale.

24.

Par sa première question, la juridiction de renvoi demande en substance si la juridiction nationale peut bel et bien devenir un responsable du traitement au titre du RGPD et si, dans ce cas, ce règlement impose des exigences à la législation procédurale nationale en ce qui concerne les pouvoirs et les obligations des juridictions dans le cadre des procédures civiles. Dans sa seconde question, la juridiction de renvoi demande, dans l’hypothèse où le RGPD s’applique et où la juridiction nationale est le responsable du traitement, selon quelles modalités une telle juridiction devrait décider de la communication de données à caractère personnel devant servir d’éléments de preuve dans le cadre d’une procédure civile.

25.

Pour répondre aux interrogations de la juridiction de renvoi, je procéderai de la manière suivante. Je commencerai par exposer les raisons pour lesquelles je considère que le RGPD est applicable aux procédures civiles devant les juridictions des États membres, ainsi que la manière dont il influence la législation procédurale existante des États membres (B). Par la suite, j’examinerai la méthode que les juridictions nationales, en tant que responsables de données, doivent appliquer pour satisfaire aux exigences du RGPD (C).

26.

Par sa première question, la juridiction de renvoi demande en substance si le RGPD s’applique aux procédures judiciaires privées et quelle est son influence sur les règles procédurales pertinentes. Plus précisément, elle demande si le RGPD a une incidence sur les règles nationales qui régissent les pouvoirs et les obligations des juridictions lorsqu’elles ordonnent la communication d’éléments de preuve documentaires. Je répondrai à cette question en trois étapes.

27.

Le RGPD définit son champ d’application matériel à son article 2, paragraphe 1, en adoptant une perspective fonctionnelle et non pas institutionnelle. C’est l’activité (de traitement de données à caractère personnel) et non pas la personne qui déclenche l’application du RGPD ( 16 ).

28.

Les situations que le RGPD exclut de son champ d’application, qui sont énumérées à son article 2, paragraphe 2, revêtent également un caractère fonctionnel. Étant donné qu’elles constituent l’exception à l’application du RGPD, la Cour a considéré qu’elles doivent être interprétées restrictivement ( 17 ).

29.

Les activités des autorités publiques ne sont donc pas exclues du champ d’application du RGPD en tant que telles, mais uniquement dans le contexte des activités énumérées à l’article 2, paragraphe 2, du RGPD ( 18 ). À cet égard, cette disposition n’exclut pas du champ d’application matériel du RGPD les activités judiciaires dans le cadre de procédures civiles.

30.

La conclusion selon laquelle le RGPD s’applique aux activités judiciaires est corroborée par le considérant 20 du RGPD ( 19 ), selon lequel cet acte s’applique aux activités des juridictions et des autres autorités judiciaires ( 20 ).

31.

L’exclusion de la compétence des autorités de contrôle à l’égard des juridictions dans l’exercice de leur fonction juridictionnelle, énoncée à l’article 55, paragraphe 3, du RGPD, ne remet pas en cause la conclusion qui précède. Bien au contraire, cette disposition confirme, à mon sens, que les juridictions dans l’exercice de leur fonction juridictionnelle sont soumises aux obligations imposées par le RGPD. Elle garantit leur indépendance et leur impartialité en interdisant une surveillance de leurs opérations de traitement par une autorité de contrôle.

32.

Le cas d’espèce implique le traitement de données à caractère personnel qui relève du champ d’application matériel du RGPD. La création et la tenue du registre du personnel électronique concernent le traitement des données à caractère personnel ( 21 ). De même, l’injonction de communiquer de telles données à caractère personnel dans le cadre d’une procédure civile est un exemple de traitement de ces données ( 22 ). Par conséquent, la situation au principal relève du champ d’application matériel du RGPD.

33.

Quelle incidence cette circonstance a-t-elle sur la mise en œuvre de règles procédurales nationales, telles que le RB ?

34.

La base juridique de l’adoption de l’injonction de communication en cause dans la présente affaire est le RB.

35.

Le RGPD exige en effet que le traitement des données dans une situation telle que celle en cause en l’espèce trouve sa base juridique dans le droit d’un État membre (ou de l’Union) ( 23 ).

36.

Initialement collectées et traitées à des fins fiscales en vertu de l’injonction de communication dans la présente affaire, les données en cause doivent désormais être traitées à des fins probatoires dans le cadre d’une procédure judiciaire.

37.

L’article 6, paragraphe 4, du RGPD permet le traitement des données à une fin autre que celle pour laquelle elles ont été collectées s’il est fondé sur le droit d’un État membre, qui constitue une mesure nécessaire dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, du RGPD. Parmi ces objectifs, l’article 23, paragraphe 1, sous f), énumère « la protection de l’indépendance de la justice et des procédures judiciaires ».

38.

Toutes les parties à la présente procédure préjudicielle s’accordent à considérer que l’article 23, paragraphe 1, sous f), du RGPD constitue la disposition qu’il convient d’invoquer pour motiver le traitement de données à d’autres fins sur la base du RB ( 24 ).

39.

Le RB donne aux juridictions nationales le pouvoir d’ordonner la communication de documents s’ils ont une force probante dans le cadre d’une procédure civile. Comme cela a été expliqué, si un document devant être communiqué contient des données à caractère personnel, la juridiction qui enjoint une telle divulgation devient le responsable du traitement en vertu du RGPD.

40.

Ainsi que la Commission l’a souligné lors de l’audience, la juridiction nationale n’est que dans une certaine mesure un responsable ordinaire du traitement. En effet, les juridictions nationales peuvent uniquement traiter des données dans l’exercice de leur autorité publique.

41.

Lorsque le traitement des données relève de l’exercice de l’autorité publique ( 25 ), l’article 6, paragraphe 3, du RGPD exige qu’il trouve son fondement dans le droit de l’Union ou d’un État membre.

42.

Dès lors, tant l’article 6, paragraphe 4, du RGPD (autorisant le traitement à une autre fin), que l’article 6, paragraphe 3, de ce règlement (permettant un traitement de données dans l’exercice de l’autorité publique) exigent l’existence d’une base juridique du traitement dans le droit national (ou de l’Union) ( 26 ).

43.

Le pouvoir d’adopter l’injonction de communication qui a été conféré par le RB à la juridiction constitue donc une condition nécessaire de la licéité du traitement en cause.

44.

Si la base juridique requise par le RGPD existe et que l’injonction impliquant le traitement de données à caractère personnel est adoptée conformément à ce droit de l’État membre, les exigences de licéité du traitement du RGPD sont-elles satisfaites ?

45.

Je suis d’avis que, si l’existence d’une base juridique en droit national est nécessaire, elle ne suffit cependant pas à assurer la conformité de l’injonction de communication avec le RGPD.

46.

La juridiction de renvoi a expliqué que, en vertu du RB, il n’est pas tenu compte, en principe, de la nature privée des informations dans l’adoption de la décision sur la communication des éléments de preuve. Les juridictions sont tenues de prendre en considération les intérêts des deux parties opposées, mais la loi elle-même ne précise pas que les intérêts des personnes concernées jouent un quelconque rôle.

47.

Le RB est-il incompatible avec le RGPD en ce qu’il n’oblige pas explicitement les juridictions, lorsqu’elles deviennent des responsables du traitement de données, à prendre en considération les intérêts des personnes concernées lors de l’adoption de décisions susceptibles d’avoir une incidence sur leurs données à caractère personnel ?

48.

À mon avis, tel n’est pas le cas. Il convient de prendre en considération le fait que les différentes législations nationales servant de base juridique à un traitement de données n’ont été adoptées spécifiquement en vue de mettre en œuvre le RGPD, mais pour poursuivre une finalité qui leur était propre. D’autant que le RGPD est directement applicable dans les ordres juridiques des États membres et ne nécessite pas à ce titre de mise en œuvre. Il importe donc que, lorsque les règles procédurales nationales et celles du RGPD se rejoignent, les premières prévoient une application simultanée des secondes.

49.

Lors de l’audience, le gouvernement suédois a confirmé que le RB n’exige pas la prise en considération par les juridictions des intérêts des personnes concernées, mais qu’il ne l’interdit pas non plus. Le RB ne s’oppose donc pas à ce que le RGPD s’applique directement à la procédure judiciaire qu’il régit.

50.

Les juridictions nationales sont donc soumises parallèlement aux règles procédurales internes et au RGPD, ce dernier complétant les règles nationales, si les activités procédurales des juridictions impliquent un traitement de données à caractère personnel.

51.

En conclusion, la législation nationale ne doit pas se référer explicitement au RGPD, ni obliger les juridictions à prendre en considération les intérêts des personnes concernées. Il suffit qu’une telle réglementation permette une application complémentaire du RGPD. Ce n’est que si tel n’était pas le cas que la législation nationale serait contraire au RGPD. Cependant, le RB semble permettre une application complémentaire du RGPD ( 27 ).

52.

En réponse à la première question de la juridiction de renvoi, je conclurai donc que l’article 6, paragraphes 3 et 4, du RGPD impose des exigences à la législation procédurale nationale en matière d’obligations de divulgation chaque fois que la divulgation implique le traitement de données à caractère personnel. La législation procédurale nationale ne peut pas empêcher, dans un tel cas, la prise en considération des intérêts des personnes concernées. Ces intérêts seront garantis si les juridictions nationales respectent les règles du RGPD, lorsqu’elles décident de la communication d’éléments de preuve documentaires dans un cas particulier.

53.

En leur qualité de sujets du RGPD et de responsables du traitement de données, les juridictions nationales doivent prendre en considération les intérêts des personnes concernées. Comment ces intérêts doivent-ils être pris en considération dans l’adoption d’une décision spécifique d’injonction ? Telle est, en substance, la seconde question de la juridiction de renvoi.

54.

Les intérêts des personnes concernées seront protégés si le traitement de leurs données à caractère personnel est conforme aux articles 5 et 6 du RGPD ( 28 ). Pour citer l’avocat général Pikamäe, le respect des articles 5 et 6 du RGPD assure la protection du droit à la vie privée et familiale ainsi que la protection des données à caractère personnel, telles qu’elles sont respectivement garanties par les articles 7 et 8 de la Charte ( 29 ).

55.

Les objectifs légitimes de traitement sont énumérés à l’article 6 du RGPD ( 30 ). Comme cela vient d’être expliqué dans la section précédente des présentes conclusions, le traitement en cause poursuit une finalité légitime, puisque la juridiction a exercé son autorité publique en enjoignant la communication sur le fondement du droit national qui sert à assurer le bon déroulement de la procédure judiciaire. Cependant, tant l’article 6 que l’article 5 du RGPD n’exigent pas seulement un objectif légitime ; il faut encore que le traitement spécifique soit nécessaire pour atteindre cet objectif.

56.

Le RGPD exige donc que la juridiction procède à une analyse de proportionnalité en déterminant si la communication de données à caractère personnel dans une situation concrète est nécessaire à des fins probatoires dans le cadre d’une procédure judiciaire ( 31 ).

57.

À cet égard, l’article 6, paragraphe 4, du RGPD exige que le droit national sur lequel est fondé le traitement des données à une fin autre que celle pour laquelle elles ont été collectées constitue une mesure nécessaire et proportionnée pour garantir l’un des objectifs énumérés à l’article 23, paragraphe 1, du RGPD, en l’occurrence la protection de l’indépendance de la justice et des procédures judiciaires. En outre, l’article 6, paragraphe 3, du RGPD exige que le traitement relevant de l’exercice de l’autorité publique soit nécessaire à l’exercice d’une telle autorité publique dont est investi le responsable du traitement.

58.

Le droit national qui constitue le fondement du traitement peut être conforme in abstracto aux exigences de l’article 6, paragraphes 3 et 4, du RGPD. Néanmoins, la licéité de chaque traitement particulier (comme l’injonction spécifique de communication d’une juridiction) dépendra de la pondération concrète de l’ensemble des intérêts en cause, compte tenu du but légitime pour lequel la communication a été demandée ( 32 ). C’est uniquement de cette manière que la juridiction nationale pourra décider si et dans quelle mesure la communication est nécessaire.

59.

Il apparaît donc clairement que le RGPD exige une analyse de la proportionnalité. Le RGPD donne-t-il des indications supplémentaires pour répondre à la question de savoir quelles étapes concrètes doivent être suivies par la juridiction dans le cadre d’une telle analyse ?

60.

Comme cela a déjà été expliqué, l’analyse de la proportionnalité doit être effectuée au cas par cas, en prenant en considération l’ensemble des intérêts en présence. Dans des situations telles que celle en cause, il convient de procéder à une pondération entre les intérêts sous-tendant la communication et l’atteinte au droit à la protection des données à caractère personnel ( 33 ).

61.

Les intérêts sous-tendant la communication sont l’expression du droit à une protection juridictionnelle effective (article 47 de la Charte). Les intérêts des personnes concernées, qui entrent en conflit avec ce premier droit, sont l’expression du droit à la vie privée et familiale (article 7 de la Charte) et du droit à la protection des données à caractère personnel (article 8 de la Charte). Ce sont ces droits qu’il convient de mettre en balance afin de décider si la communication des données à caractère personnel est nécessaire.

62.

Ci-dessous, je présenterai certaines suggestions en ce qui concerne les étapes particulières qu’une juridiction nationale est censée suivre.

63.

Tout d’abord, l’on peut toujours présumer que les personnes concernées qui n’ont pas donné leur consentement au traitement de leurs données à caractère personnel ont un intérêt à en limiter le traitement. Tel est donc le postulat de départ par défaut de la juridiction nationale, qui devra motiver la nécessité de porter atteinte à cet intérêt.

64.

À mon sens, des instructions pour procéder à cette appréciation peuvent être dégagées de l’article 5 du RGPD, qui contient les principes que le responsable des données doit respecter dans le traitement des données à caractère personnel.

65.

À cet égard, le principe de minimisation des données, issu de l’article 5, paragraphe 1, sous c), du RGPD, revêt une importance capitale. Il constitue, comme le souligne la Cour, une expression de la proportionnalité ( 34 ). Il exige que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

66.

La première question consiste donc à savoir si les données figurant dans le registre du personnel tenu par Entral sont adéquates. Elles seront adéquates au regard de la finalité pour laquelle elles doivent être communiquées, si elles indiquent en particulier le nombre d’heures de travail effectuées par les salariés de Fastec sur le chantier.

67.

La deuxième question est de savoir si les données dans le registre du personnel tenu par Entral sont pertinentes au regard de la finalité pour laquelle elles sont demandées. La finalité semble être l’intérêt de Nycander à prouver sa thèse selon laquelle les salariés de Fastec ont travaillé moins d’heures que ce qui a été facturé. Dans de telles circonstances, la pertinence du registre du personnel dépend de sa capacité effective à prouver ou à réfuter une telle prétention. Cette pertinence devra être appréciée par la juridiction nationale à la lumière d’autres circonstances de l’espèce (par exemple, l’affirmation de Fastec selon laquelle le registre du personnel ne contient qu’une partie des heures de travail entrant en ligne de compte, une autre partie des heures de travail ayant été effectuées en dehors du chantier).

68.

Pour tenir compte de la troisième exigence du principe de minimisation des données, la juridiction nationale doit déterminer si toutes les données ou seule une partie de celles-ci consignées dans le registre sont suffisantes à des fins probatoires. En outre, s’il existe d’autres moyens de prouver le même fait, la minimisation des données exige de recourir à ces autres moyens. Par exemple, la juridiction nationale pourrait être amenée à apprécier l’allégation de Fastec selon laquelle les heures effectives de travail peuvent être vérifiées au regard de documents qui font déjà partie du dossier de l’affaire au principal devant la juridiction de renvoi. Si elle juge que cette allégation est exacte, la juridiction nationale ne peut pas ordonner la communication de données à caractère personnel du registre du personnel.

69.

La juridiction nationale doit déterminer quelles catégories de données à caractère personnel du registre suffisent à prouver ou à réfuter les faits pertinents. À cet égard, le principe de minimisation des données exige de ne communiquer que les données qui sont strictement nécessaires au regard de la finalité en question. Il se peut donc que Entral, en sa qualité de sous-traitant, soit contrainte de modifier le registre du personnel de manière à limiter les données à caractère personnel au minimum nécessaire, tout en permettant de tirer une conclusion sur les heures effectives de travail.

70.

À cet égard, la juridiction nationale doit se prononcer sur la nécessité de pouvoir identifier les personnes dont les données sont consignées dans le registre pour que la communication ait une valeur probante (par exemple, la nécessité de révéler l’identité des travailleurs pour les convoquer en qualité de témoins). Si l’identification des personnes n’est pas nécessaire, des informations relatives au nombre total d’heures consacrées au chantier et/ou au nombre de travailleurs peuvent suffire.

71.

En fonction des réponses apportées aux questions précédentes, la juridiction peut décider de demander la communication de données pseudonymisées ou anonymisées ( 35 ).

72.

En vertu du considérant 26 du RGPD, les données qui ont fait l’objet d’une pseudonymisation continuent de relever du champ d’application matériel du RGPD. La raison en est que la pseudonymisation continue à permettre de retracer l’identité d’une personne à l’origine du pseudonyme. Il n’en va pas de même pour les données rendues anonymes, qui ne relèvent pas du champ d’application du RGPD. Les modalités de communication qui seront en définitive ordonnées par la juridiction nationale auront donc également une incidence sur l’applicabilité ultérieure du RGPD ( 36 ).

73.

C’est en définitive à la juridiction nationale qu’il incombera de déterminer la valeur probante des différentes versions du registre du personnel afin de décider quelle catégorie de minimisation de données est, le cas échéant, nécessaire à la bonne fin de la procédure judiciaire dont elle est saisie.

74.

Outre le principe de minimisation des données figurant à l’article 5, paragraphe 1, sous c), du RGPD, d’autres principes contenus à l’article 5 du RGPD lient également la juridiction nationale et sont pertinents pour déterminer les modalités de l’adoption de l’injonction de divulgation.

75.

Par exemple, non seulement l’article 5, paragraphe 1, sous a), du RGPD se réfère au principe de licéité (plus amplement développé à l’article 6 du RGPD), mais il mentionne également le principe de transparence. Selon moi, ce principe exige que la juridiction nationale explique clairement sa décision d’enjoindre la communication des données à caractère personnel, en indiquant notamment comment elle a mis en balance les différents intérêts et arguments des parties relatifs à la communication.

76.

Une motivation adéquate de l’injonction de communication satisfait également à l’exigence de l’article 5, paragraphe 2, du RGPD, selon laquelle le responsable du traitement doit être en mesure de démontrer le respect des principes énoncés au paragraphe 1 de cette disposition.

77.

Les modalités du respect des principes de l’article 5 du RGPD peuvent également être interprétées à partir du considérant 31 du RGPD, selon lequel « [l]es demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers ».

78.

Le gouvernement polonais a soulevé une question relative à l’appréciation par la juridiction nationale de la proportionnalité : si c’est à cette dernière d’apprécier la valeur probante du registre du personnel ou d’un autre élément de preuve dans le litige dont elle est saisie, ne serait-elle pas déjà trop impliquée dans ce qui devrait continuer à incomber aux parties, qui doivent s’efforcer de remporter le débat relatif à la force probante même de tels éléments de preuve ?

79.

À mon sens, l’appréciation de la valeur probante qui prend en considération les intérêts des personnes concernées n’a pas plus pour effet d’interférer dans la procédure que l’appréciation de la force probante de tout autre élément de preuve dans le cadre d’une procédure civile ( 37 ).

80.

Le niveau de l’ingérence de la juridiction nationale dépendra du caractère manifeste de la valeur probante des données dont la communication est demandée dans les circonstances du cas d’espèce. La mesure dans laquelle la divulgation peut porter atteinte aux intérêts des personnes concernées sera toujours fonction de chaque cas individuel.

81.

Par exemple, certaines affaires peuvent impliquer des données sensibles bénéficiant d’un régime spécial de protection au titre de l’article 9 du RGPD, ou encore des sanctions pénales relatives au régime de l’article 10 de celui-ci. Dans de telles situations, les intérêts des personnes concernées prendront nécessairement de l’importance dans l’exercice de pondération ( 38 ). De même, l’intérêt à la divulgation peut différer selon les cas particuliers. Si la pertinence de certains éléments de preuve sera parfois clairement marginale, dans d’autres cas, elle sera au centre de la résolution de l’affaire. À cet égard, l’argument de la Commission, selon lequel la juridiction nationale doit disposer d’une grande latitude lorsqu’elle procède à de telles appréciations, est parfaitement valable. Cette juridiction ne doit cependant jamais être dispensée de l’obligation de prendre en compte les intérêts des personnes concernées.

82.

Le gouvernement tchèque a exprimé une autre préoccupation : le fait d’imposer aux juridictions nationales l’obligation de prendre en considération les intérêts des personnes concernées chaque fois qu’elles ordonnent la communication de preuves documentaires entraverait le bon fonctionnement de la procédure judiciaire. Il est vrai que le RGPD impose une obligation supplémentaire ( 39 ) aux juridictions, à savoir celle de procéder au contrôle de proportionnalité avant d’ordonner la communication de preuves documentaires contenant des données à caractère personnel. Toutefois, la mise en balance des intérêts ne constitue pas un exercice intellectuel inhabituel pour les juridictions et la charge qui en résulte pour les juridictions nationales ne diffère pas de celle qu’impose le RGPD à tout responsable du traitement des données.

83.

Si les citoyens de l’Union sont censés jouir d’un niveau élevé de protection de leurs données à caractère personnel, qui est cohérent avec le choix du législateur de l’Union tel qu’exprimé dans le RGPD, l’on ne saurait voir dans la prise en considération des intérêts des personnes concernées une charge excessive imposée aux juridictions des États membres.

84.

Je propose par conséquent à la Cour de répondre à la seconde question de la juridiction de renvoi de la manière suivante : lorsqu’elle prend une décision d’injonction dans le cadre d’une procédure civile impliquant le traitement de données à caractère personnel, la juridiction nationale doit procéder à une analyse de proportionnalité tenant compte des intérêts des personnes concernées dont les données à caractère personnel doivent être traitées et mettre ces intérêts en balance avec l’intérêt des parties à la procédure à obtenir les éléments de preuve. Cette appréciation de proportionnalité est guidée par les principes énoncés à l’article 5 du RGPD, parmi lesquels figure le principe de minimisation des données.

85.

À la lumière des considérations qui précèdent, je propose à la Cour de répondre aux deux questions préjudicielles posées par le Högsta domstolen (Cour suprême, Suède) de la manière suivante :