Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 62022CC0693

Conclusions de l'avocat général M. P. Pikamäe, présentées le 22 février 2024.


ECLI identifier: ECLI:EU:C:2024:162

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. PRIIT PIKAMÄE

présentées le 22 février 2024 (1)

Affaire C693/22

I. sp. z o. o.

contre

M. W.

[demande de décision préjudicielle formée par le Sąd Rejonowy dla m. st. Warszawy w Warszawie (tribunal d’arrondissement de la ville de Varsovie, Pologne)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Vente d’une base de données contenant des données à caractère personnel dans le cadre d’une procédure d’exécution forcée – Article 4, point 7 – Notion de “responsable du traitement” – Article 5, paragraphe 1, sous b) – Limitation des finalités – Article 6, paragraphes 1, 3 et 4 – Licéité du traitement – Respect d’une obligation légale imposée au responsable du traitement – Exécution d’une mission d’intérêt public – Article 23, paragraphe 1, sous j) – Exécution des demandes de droit civil – Mesure nécessaire et proportionnée »






1.        La vente, dans le cadre d’une procédure d’exécution forcée, d’une base de données contenant des données à caractère personnel peut-elle être conforme aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (ci-après le « RGPD ») (2), lorsque les personnes concernées n’ont pas fourni leur consentement à une telle vente ?

2.        Il s’agit de l’interrogation principale posée à la Cour par le Sąd Rejonowy dla m. st. Warszawy w Warszawie (tribunal d’arrondissement de la ville de Varsovie, Pologne) dans le cadre du présent renvoi préjudiciel.

3.        La Cour sera ainsi amenée à examiner un cas de figure particulier au regard du RGPD, et à prendre position sur certains éléments-clé de ce règlement, tels que la notion de « responsable du traitement », la licéité du traitement et l’étendue du principe de limitation des finalités.

 Le cadre juridique

 Le droit de l’Union

4.        L’article 4 du RGPD prévoit :

« Aux fins du présent règlement, on entend par :

1)      “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; [...]

2)      “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

7)      “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[...] »

5.        L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose, à ses paragraphes 1 et 2 :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)      collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...]

c)      adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6.        L’article 6 dudit règlement, intitulé « Licéité du traitement », est libellé comme suit :

« 1.      Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...]

c)      le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[...]

e)      le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

[...]

3.      Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a)      le droit de l’Union ; ou

b)      le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. [...] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4.      Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a)      de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b)      du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c)      de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d)      des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e)      de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

7.        L’article 23, paragraphe 1, du RGPD, intitulé « Limitations », prévoit :

« 1.      Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

[...]

j)      l’exécution des demandes de droit civil. »

 Le droit polonais

8.        L’article 299 de l’ustawa Kodeks spółek handlowych (loi portant code des sociétés commerciales), du 15 septembre 2000 (Dz. U. de 2022, position 1467, ci‑après le « code des sociétés commerciales »), est ainsi libellé :

« § 1.            Lorsque l’exécution à l’encontre d’une société s’avère dénuée d’effet, les membres du conseil d’administration sont solidairement responsables de ses dettes.

§ 2.      Un membre du conseil d’administration peut s’exonérer de la responsabilité visée au paragraphe 1 s’il démontre qu’une demande de mise en faillite a été déposée en temps utile ou qu’une décision d’ouverture d’une procédure de restructuration ou d’approbation du concordat dans le cadre d’un plan de concordat a été rendue en même temps, ou que l’absence de dépôt d’une demande de mise en faillite ne lui est pas imputable, ou que malgré l’absence de dépôt d’une demande de mise en faillite et l’absence de décision d’ouverture d’une procédure de restructuration ou l’absence d’approbation du concordat dans le cadre d’un plan de concordat, le créancier n’a pas subi de préjudice. »

9.        Aux termes de l’article 796, paragraphe 1, de l’ustawa Kodeks postępowania cywilnego (loi portant code de procédure civile), du 17 novembre 1964 (Dz. U. de 2021, position 1805), telle que modifiée (ci-après le « code de procédure civile ») :

« La demande d’ouverture de la procédure d’exécution est présentée, selon le cas, au tribunal ou à l’huissier de justice. La demande soumise à l’huissier de justice peut être présentée sur un formulaire officiel. »

10.      L’article 799, paragraphe 1, première phrase, du code de procédure civile dispose :

« Une demande d’exécution ou une demande d’exécution d’office permet de procéder à l’exécution selon toutes les méthodes autorisées, à l’exception de l’exécution sur les biens immobiliers. […] »

11.      L’article 824, paragraphe 1, point 3, de ce code est libellé comme suit :

« L’extinction complète ou partielle de la procédure d’exécution judiciaire est constatée d’office :

[...]

3)      lorsqu’il apparaît clairement que l’exécution forcée ne fera obtenir aucun montant supérieur aux coûts de sa mise en œuvre. »

12.      L’article 831 dudit code prévoit :

« § 1      Ne peuvent pas faire l’objet d’une exécution forcée :

[...]

3)      les droits inaliénables, sauf si leur aliénabilité a été exclue par contrat et que l’objet de la prestation est susceptible de faire l’objet d’une exécution forcée ou si l’exercice du droit peut être confié à autrui. »

13.      L’ustawa o komornikach sądowych (loi sur les huissiers de justice), du 22 mars 2018 (Dz. U. de 2022, position 1168), telle que modifiée (ci-après la « loi sur les huissiers de justice »), régit le statut et les activités des huissiers de justice. Aux termes de son article 3, paragraphes 1 et 3 :

« L’huissier de justice est une autorité publique effectuant des actes dans le cadre des procédures d’exécution forcée et de mesures conservatoires. Ces actes sont accomplis par l’huissier, sous réserve des exceptions prévues par la loi.

[...]

L’huissier est chargé des tâches suivantes :

1)      l’exécution des décisions de justice dans les affaires de créances pécuniaires et non pécuniaires et de dépôt de garantie, y compris les ordonnances européennes de saisie conservatoire des comptes bancaires, sous réserve des exceptions prévues par [le code de procédure civile] ;

[...] »

14.      L’article 9, paragraphe 1, de cette loi dispose :

« L’huissier ne saurait refuser une demande ayant pour objet :

1)      la mise en œuvre d’une exécution forcée,

[...]

actes pour lesquels il est compétent conformément aux dispositions [du code de procédure civile]. »

15.      L’article 31, paragraphe 1, première phrase, de ladite loi se lit comme suit :

« Les sommes saisies sur un compte bancaire, un compte tenu par une caisse coopérative d’épargne et de crédit ou un compte tenu par une entité exerçant des activités de courtage, obtenues à la suite du premier paiement effectué par le débiteur de la créance saisie, sont transférées par l’huissier au créancier au plus tôt le septième jour et au plus tard le quatorzième jour à compter de la date de leur réception. […] »

16.      L’ustawa o ochronie baz danych (loi sur la protection des bases de données), du 27 juillet 2001 (Dz. U. de 2021, position 386) (ci-après la « loi sur la protection des bases de données »), prévoit, à son article 2, paragraphe 1, point 1, ce qui suit :

« Aux fins de la présente loi, on entend par :

1.      “base de données” : un recueil de données ou d’autres éléments rassemblés selon une méthode ou un système particuliers, accessibles individuellement par tout moyen, y compris par des moyens électroniques, et nécessitant un investissement substantiel du point de vue qualitatif ou quantitatif en vue d’établir, de vérifier ou de présenter son contenu. »

17.      L’article 6, paragraphe 1, de la loi sur la protection des bases de données dispose :

« Le fabricant d’une base de données a un droit exclusif et cessible d’extraire les données et de les réutiliser en totalité ou dans une partie substantielle, évaluée de façon qualitative ou quantitative. »

 Le litige au principal, la question préjudicielle et la procédure devant la Cour

18.       La société I. (ci-après la « requérante » ou la « société créancière »), établie en Pologne, possède une créance, confirmée par une décision de justice définitive, à l’égard de la société NMW, spécialisée dans la vente en ligne, dont M.W. est membre du conseil d’administration.

19.      À la demande de la requérante une procédure d’exécution visant à satisfaire cette créance a été engagée à l’encontre de la société NMW. Cette procédure a abouti à une décision de l’huissier de justice de mettre fin à cette exécution au motif que la société NMW n’avait pas d’actifs pouvant faire l’objet de celle-ci. Dans ces conditions, la requérante a intenté une action contre M.W. devant le Sąd Rejonowy dla m. st. Warszawy w Warszawie (tribunal d’arrondissement de la ville de Varsovie), sur le fondement de l’article 299, paragraphe 1, du code des sociétés commerciales, qui prévoit la responsabilité patrimoniale d’un membre du conseil d’administration de la société débitrice en cas d’impossibilité de recouvrer une créance au moyen des actifs de cette société.

20.      M.W. a conclu au rejet de cette action, au motif que la société NMW possédait des actifs ayant chacun une valeur supérieure à la créance de la requérante, à savoir un code source d’un logiciel d’achat en ligne combiné à un service de quasi-cashback (ci-après la « plateforme M. ») et deux bases de données d’utilisateurs de cette plateforme.

21.      La juridiction de renvoi indique néanmoins que la vente de la seule plateforme M., sans ces bases de données, ne serait pas aussi attractive sur le marché que celle de l’ensemble du « paquet ».

22.      Il est donc nécessaire, selon cette juridiction, d’obtenir une réponse à la question de savoir si les bases de données créées par NMW peuvent être cédées dans le cadre d’une procédure d’exécution judiciaire. Une réponse affirmative conduirait en effet au rejet du recours au principal.

23.      À cet égard, la juridiction de renvoi précise que, si elle n’est pas liée par l’évaluation de la valeur des actifs en cause sur laquelle s’est fondée M.W. – d’autant plus que cette évaluation n’a pas été réalisée par un expert judiciaire –, la réponse à la question susmentionnée demeure nécessaire à la solution du litige au principal dans la mesure où les dispositions régissant la procédure civile polonaise ne permettent pas d’administrer une telle preuve sans que sa pertinence soit établie au préalable.

24.      Cette juridiction considère que les bases de données concernées relèvent de la notion de « base de données » au sens de l’article 1er de la directive 96/9/CE du Parlement européen et du Conseil, du 11 mars 1996, concernant la protection juridique des bases de données (3), de sorte que leur titulaire, la société NMW, détiendrait le droit patrimonial de céder ces bases de données en vertu de l’article 7 de cette directive. En effet, les procédures d’exécution pourraient être menées sur tout droit patrimonial, sauf si une disposition excluait expressément une telle possibilité. Or, le législateur polonais n’aurait prévu aucune règle interdisant l’exécution forcée d’une base de données telle que celle concernée par la procédure au principal.

25.      La juridiction de renvoi émet des doutes quant au fait que de telles bases de données puissent faire l’objet d’une exécution judiciaire étant donné qu’elles contiennent des données à caractère personnel de centaines de milliers d’utilisateurs de la plateforme M. et qu’il n’existe aucune preuve que les utilisateurs de cette plateforme aient consenti au traitement de leurs données à caractère personnel sous la forme d’une mise à disposition de ces données à des tiers, en dehors de ladite plateforme. À cet égard, elle a précisé que les données en question ne relèvent pas des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD.

26.      Cette juridiction s’interroge également sur l’articulation entre les limitations au traitement des données à caractère personnel établies par le RGPD et le droit de disposer librement d’une base de données découlant de la directive 96/9 et du droit national, incluant, selon elle, celui de transférer la base de données dans le cadre d’une procédure d’exécution.

27.      C’est dans ce contexte que le Sąd Rejonowy dla m. st. Warszawy w Warszawie (tribunal d’arrondissement de la ville de Varsovie) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« Les dispositions combinées de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, sous a), c) et e), et paragraphe 3, du [RGPD] doivent-elles être interprétées en ce sens qu’elles s’opposent à une réglementation nationale qui permet la vente, dans le cadre d’une procédure d’exécution, d’une base de données au sens de l’article 1er, paragraphe 2, de la [directive 96/9] contenant des données à caractère personnel, lorsque les personnes concernées par ces données n’ont pas donné leur consentement à une telle vente ? »

28.      Le gouvernement polonais et la Commission européenne ont déposé des observations écrites. Ces mêmes intéressés, ainsi que I., ont été entendus en leurs plaidoiries orales à l’audience du 16 novembre 2023.

 Analyse

 Sur la recevabilité

29.      Deux questions relatives à la recevabilité de la présente question préjudicielle doivent d’abord être traitées.

30.      Premièrement, la requérante au principal a émis, à l’audience, des doutes quant à la pertinence de cette question. Selon cette partie, la société NMW aurait déjà mis fin à son activité économique il y a quelques années. Plus précisément, cette société ne posséderait plus de conseil d’administration ou de direction et ne fournirait pas de service aux utilisateurs de la plateforme M. depuis avril 2019 (4). Ainsi, elle aurait nécessairement arrêté tout traitement des données à caractère personnel lié à l’exercice de son activité. Dans ces conditions, les principes de limitation des finalités et de limitation de la conservation auraient exigé l’effacement des données concernées, à défaut duquel l’existence même des bases de données en cause au principal serait illicite. Compte tenu de cela, la question déférée par la juridiction de renvoi, ayant trait à la légalité de la vente de celles-ci dans le cadre d’une procédure d’exécution forcée, ne serait pas pertinente pour la solution du litige au principal.

31.      Il convient d’observer que, aux termes de l’article 5, paragraphe 1, sous e), du RGPD, les données à caractère personnel (5) doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont traitées. Il en résulte que même un traitement initialement licite de données peut devenir, avec le temps, incompatible avec le RGPD lorsque ces données ne sont plus nécessaires à la réalisation de telles finalités (6). Dans une telle hypothèse, les données doivent être supprimées (7). En l’espèce, les données en question ont été assurément collectées aux fins de l’activité de vente en ligne exercée par NMW. Si cette dernière avait arrêté cette activité en avril 2019, il ne fait guère de doute que ces données n’auraient plus été nécessaires à la réalisation de celle-ci, et auraient ainsi dû être effacées. En l’absence d’un tel effacement, l’existence des bases de données en question ne serait pas conforme au RGPD, et le manque de pertinence de la présente question préjudicielle pour la solution du litige au principal serait manifeste.

32.      Cela étant, il y a lieu de rappeler que, selon une jurisprudence constante, la Cour est uniquement habilitée à se prononcer sur l’interprétation du droit de l’Union au regard du cadre factuel et juridique défini par le juge national sous sa responsabilité, sans pouvoir le remettre en cause ni vérifier son exactitude (8).

33.      Or, il ne ressort d’aucun point de la décision de renvoi que la société NMW aurait mis fin à son activité en avril 2019, tel que le soutient la requérante.

34.      Secondement, la juridiction de renvoi nourrit des doutes quant à l’applicabilité du RGPD eu égard aux dispositions de la directive 96/9.

35.      Il convient de rappeler, à titre liminaire, que la directive 96/9 vise à supprimer, par un rapprochement des législations nationales, les disparités qui existaient entre celles-ci en matière de protection juridique des bases de données et qui portaient atteinte au fonctionnement du marché intérieur, à la libre circulation des biens et des services dans l’Union ainsi qu’au développement d’un marché de l’information au sein de celle-ci (9). Conformément à son article 1er, paragraphe 1, cette directive concerne la protection juridique des bases de données, quelle que soit leur forme, étant précisé que le paragraphe 2 de cet article définit la « base de données » comme « un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique et individuellement accessibles par des moyens électroniques ou d’une autre manière ».

36.      Ladite directive exige de l’ensemble des États membres qu’ils prévoient dans leur droit national une protection des bases de données par un droit sui generis. Plus précisément, l’article 7, paragraphe 1, de la directive 96/9 réserve au fabricant d’une base de données ayant nécessité un investissement substantiel, d’un point de vue qualitatif et quantitatif, le droit d’interdire les actes d’extraction et/ou de réutilisation portant sur la totalité ou une partie substantielle du contenu de cette base. Ce droit est aliénable en vertu de l’article 7, paragraphe 3, de cette directive.

37.      Selon la juridiction de renvoi, les bases de données appartenant à la société NMW remplissent les conditions pour relever de la protection assurée par la loi sur la protection des bases de données et la directive 96/9, dont la première constitue la transposition de la seconde dans l’ordre juridique polonais. L’article 6 de cette loi prévoit notamment que le fabricant dispose du droit exclusif et aliénable d’extraire les données et de les réutiliser en totalité ou dans une partie substantielle. Il s’agirait donc, selon la juridiction de renvoi, d’un droit patrimonial ayant une nature absolue et produisant des effets erga omnes. Conformément au droit polonais, tout droit patrimonial pourrait être visé par une procédure d’exécution, sauf exception expressément prévue par la loi. Or, le législateur polonais n’aurait prévu aucune règle interdisant l’exécution forcée portant sur des bases de données. Il s’ensuivrait que l’huissier de justice serait, en l’espèce, titulaire d’un droit de céder les bases de données pour le compte du créancier, qui dériverait du droit du fabricant concerné par la procédure d’exécution de disposer librement de celles-ci. L’invocation de ce droit pourrait faire obstacle à l’application des règles du RGPD dans un cas comme celui de l’espèce et rendre ainsi la présente question irrecevable.

38.      D’abord, il y a lieu d’observer que le droit sui generis reconnu à l’article 7 de cette directive n’est pas correctement identifié par la juridiction de renvoi. Il s’agit en réalité d’un droit de s’opposer à des actes consistant notamment à reconstituer la base de données ou une partie substantielle de celle-ci à un coût très inférieur à celui qu’entraîne une conception autonome (10), l’objectif ainsi poursuivi par le législateur de l’Union étant celui de garantir à la personne qui a pris l’initiative et assumé le risque de consacrer un investissement substantiel à l’obtention, à la vérification ou à la présentation du contenu d’une base de données la rémunération de son investissement, en la protégeant contre l’appropriation non autorisée des résultats de cet investissement (11).

39.      En outre et surtout, s’agissant de l’articulation entre la directive 96/9 et le RGPD, il ressort de l’article 13 de cette directive qu’elle n’affecte pas les dispositions concernant notamment la protection des données personnelles et le respect de la vie privée, et du considérant 48 de ladite directive que les dispositions de celle-ci sont sans préjudice de l’application des règles en matière de protection des données prévues par la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (12), à laquelle a succédé le RGPD (13).

40.      J’estime donc que la Cour devrait se prononcer sur le fond de la présente affaire.

 Sur le fond

41.      Par sa question, la juridiction de renvoi cherche à savoir, en substance, si l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, sous a), c) et e), et paragraphe 3, du RGPD doivent être interprétés en ce sens qu’ils s’opposent à une réglementation nationale qui permet à un huissier de justice de vendre, dans le cadre d’une procédure d’exécution forcée, une base de données contenant des données à caractère personnel, lorsque les personnes concernées par ces données n’ont pas donné leur consentement à une telle vente.

42.      Mon analyse juridique se déroulera comme suit. S’agissant du RGPD, la question de l’applicabilité de ce règlement en l’espèce et celle tenant à l’identification du responsable du traitement en cause seront abordées avant de se focaliser sur l’interprétation des règles régissant la licéité d’un tel traitement.

43.      Le raisonnement développé dans les présentes conclusions montrera que les dispositions du droit de l’Union que la Cour est amenée à prendre en compte ne coïncident que partiellement avec celles évoquées dans la question préjudicielle. La réponse proposée portera donc sur ces dispositions (14).

 Sur l’existence d’un traitement et l’identification du responsable du traitement

44.      Ainsi qu’il ressort de son considérant 10, le RGPD vise notamment à assurer un niveau élevé de protection des personnes physiques au sein de l’Union et, à cette fin, à assurer une application cohérente et homogène des règles de protection des libertés et des droits fondamentaux de ces personnes à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union (15).

45.      En vertu de son article 2, paragraphe 1, ce règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé lorsque ces données sont contenues ou appelées à figurer dans un fichier.

46.      Le paragraphe 2 de cet article prévoit une série d’exceptions au champ d’application dudit règlement, fondées sur le type d’activité dans le cadre de laquelle le traitement est effectué. Il ressort de la jurisprudence de la Cour que, eu égard à la nécessité d’interpréter ces exceptions restrictivement, il est nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées à l’article 2, paragraphe 2, du RGPD ou qu’elle puisse être rangée dans la même catégorie que celles-ci. Ainsi, la caractérisation d’une activité comme étant propre à l’État ou à une autorité publique ne suffit pas pour que l’on puisse considérer que le traitement en question est réalisé dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union au sens de l’exception figurant à l’article 2, paragraphe 2, sous a), du RGPD (16).

47.      Pour ce qui nous intéresse, il importe d’observer que le traitement effectué dans le cadre de l’exécution forcée d’une demande de droit civil n’échappe pas au champ d’application de ce règlement.

48.      Les contours du champ d’application du RGPD sont définis par la notion de « traitement ». En vertu de l’article 4, point 2, de ce règlement, cette notion inclut toute opération  effectuée ou non à l’aide de procédés automatisés et appliquée à des données ou à des ensembles de données à caractère personnel, telle que, notamment, « l’extraction », « la consultation », « l’utilisation » et « toute autre forme de mise à disposition » de ces données. Le législateur de l’Union a ainsi entendu conférer une portée large à ladite notion (17).

49.      Y a-t-il un traitement de données à caractère personnel dans le cas d’espèce ?

50.      Une précision liminaire s’impose. Les opérations sur les données à caractère personnel réalisées par la société NMW aux fins de l’exercice de son activité de vente en ligne au moyen de la plateforme M. ne relèvent pas du périmètre de la question posée par la juridiction de renvoi. Cette question vise exclusivement la procédure d’exécution tendant à la vente forcée des bases de données concernées. Selon la juridiction de renvoi, une telle procédure impliquerait un traitement au sens du RGPD, dont l’huissier de justice serait le responsable.

51.      Les éclaircissements fournis à l’audience par le gouvernement polonais au regard de la mission confiée à l’huissier de justice dans le cadre d’une telle procédure d’exécution forcée ne laissent subsister aucun doute, selon moi, quant à l’exactitude de cette interprétation.

52.      Ce gouvernement a expliqué que la procédure en question débute par la saisie de la base de données, par laquelle l’huissier de justice obtient l’accès aux données à caractère personnel y figurant, en vue de procéder à l’estimation de la valeur de celle-ci et de l’indiquer dans le procès-verbal de saisie. Aux fins d’une telle estimation, l’huissier de justice effectue une série d’opérations, incluant l’extraction, la consultation et l’utilisation de ces données (18). La procédure d’exécution forcée s’achève par l’aliénation de la base de données par voie d’enchères publiques. Une fois que l’adjudication devient définitive et que la totalité du prix a été payée, l’huissier de justice procède à la mise à disposition de l’acquéreur de ladite base de données.

53.      Il en ressort que les données à caractère personnel contenues dans des bases de données telles que celles en cause sont à tout le moins extraites, consultées et utilisées par l’huissier de justice dans le cadre de l’estimation de la valeur de celles-ci, et ensuite mises à disposition de l’acquéreur. À cet égard, il y a lieu d’observer qu’un traitement de données à caractère personnel peut être constitué de plusieurs opérations, chacune d’entre elles visant un des différents stades que peut contenir un traitement (19). En l’espèce, ces opérations doivent donc être considérées comme constituant un « traitement » au sens du RGPD.

54.      Il convient ensuite d’identifier le responsable de ce traitement.

55.      Je rappelle que, en vertu de l’article 4, point 7, du RGPD, la notion de « responsable du traitement » couvre les personnes physiques ou morales, les autorités publiques, les services et les autres organismes qui, seuls ou conjointement avec d’autres, déterminent les finalités et les moyens du traitement (20). Cette disposition énonce également que, lorsque les finalités et les moyens du traitement sont déterminés notamment par le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à cette désignation peuvent être prévus par ce droit. Une telle définition large de la notion de « responsable du traitement » vise à assurer, selon une jurisprudence constante, une protection efficace et complète des personnes concernées (21).

56.      Lorsque la détermination des finalités et des moyens du traitement est effectuée par le droit national, il convient, selon la jurisprudence la plus récente, de vérifier si ce droit désigne le responsable du traitement ou prévoit les critères spécifiques applicables à sa désignation.  La désignation du responsable du traitement par le droit national peut être non seulement explicite, mais également implicite. Dans ce dernier cas, il est néanmoins requis que cette détermination découle de manière suffisamment certaine du rôle, de la mission ou des attributions dévolus à la personne ou à l’entité concernée (22).

57.      En l’occurrence, il découle de l’article 3, paragraphe 1, de la loi sur les huissiers de justice que l’huissier de justice est une autorité publique effectuant, sous réserve des exceptions prévues par la loi, des actes notamment dans le cadre des procédures d’exécution forcée. En outre, et ainsi qu’il a été mentionné ci-dessus, il ressort des éléments du dossier que, lorsque l’exécution forcée porte sur des bases de données, ces actes consistent notamment en l’extraction, la consultation, l’utilisation des données à caractère personnel y figurant dans le cadre de l’estimation de la valeur de ces bases de données en vue d’une aliénation par voie d’enchères publiques, ainsi qu’en la mise à disposition de l’acquéreur une fois que l’adjudication est devenue définitive. Il me semble que le droit polonais a ainsi déterminé, à tout le moins implicitement, les finalités et les moyens du traitement des données à caractère personnel réalisé par l’huissier de justice.

58.      Il s’ensuit que l’huissier de justice peut en l’espèce être considéré comme étant, en tant qu’autorité publique chargée de mener toute procédure d’exécution forcée, y compris celle ayant pour objet une base de données, le responsable du traitement des données à caractère personnel y contenues au sens de l’article 4, point 7, du RGPD.

59.      La juridiction de renvoi ne fait état d’aucune disposition de droit polonais qui mettrait à la charge de la société débitrice NMW des obligations de coopération avec l’huissier de justice pour lui permettre d’estimer la valeur des bases de données concernées en vue de la vente forcée de celles-ci.

60.      Il ne peut pas être exclu que de telles obligations impliqueraient la réalisation d’un autre traitement au sens du RGPD, dont cette société serait la responsable. Il importe de rappeler, à cet égard, que, dans l’arrêt Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), la Cour a considéré que la communication et la mise à disposition à l’administration fiscale d’un État membre par un opérateur économique de données à caractère personnel que ce dernier est juridiquement tenu de fournir impliquaient un tel traitement, s’ajoutant au traitement effectué par cette administration à travers de la demande par laquelle elle sollicitait la communication et la mise à disposition de ces données (23).

61.      Moins vraisemblable, bien qu’abstraitement concevable, est que l’huissier de justice et la société débitrice NMW puissent être conjointement tenus pour responsables des traitements opérés sur les données à caractère personnel en cause aux fins de la vente forcée. Cette conclusion est envisageable, selon l’arrêt État belge (Données traitées par un journal officiel), lorsque les différentes opérations de traitement sont unies par des finalités et des moyens déterminés par le droit national et que celui-ci définit les obligations respectives de chacun des responsables conjoints du traitement (24).

62.      Cela étant, l’analyse qui suit repose sur la prémisse au regard des éléments de l’espèce selon laquelle l’huissier de justice est le seul responsable du traitement en cause au principal.

63.      En tant que responsable du traitement, l’huissier de justice est non seulement responsable du respect des principes régissant le traitement des données à caractère personnel (25),  mais est également destinataire d’un nombre considérable d’obligations, auxquelles correspondent des droits pour les personnes concernées (26). Ces obligations peuvent uniquement être limitées par le législateur national aux conditions prévues à l’article 23 du RGPD. Interrogé à l’audience sur l’existence de telles dispositions législatives dans le droit national, le gouvernement polonais n’a indiqué que l’article 4 de la loi sur la protection des données. Néanmoins, cet article limite uniquement la portée des obligations du responsable du traitement exerçant une mission publique découlant de l’article 14, paragraphes 1, 2 et 4, du RGPD (« Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée »).

 Sur la licéité du traitement de données à caractère personnel en cause

64.      Comme la Cour l’a itérativement jugé, tout traitement de données à caractère personnel doit notamment être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, du RGPD et, eu égard au principe de la licéité du traitement, satisfaire aux conditions de licéité du traitement énumérées à l’article 6 de ce règlement (27).

65.      L’article 6, paragraphe 1, premier alinéa, dudit règlement prévoit une liste exhaustive et limitative des hypothèses dans lesquelles un traitement de données à caractère personnel peut être qualifié de licite. Une telle qualification implique que le traitement relève de l’une de ces hypothèses. Or, il convient de rappeler que le traitement en question ne relève pas de l’hypothèse principale prévue par cette disposition, à savoir celle dans laquelle la personne concernée a consenti au traitement pour une ou plusieurs finalités spécifiques (28).  Comme il ressort de la décision de renvoi, aucune preuve n’a été produite dans la procédure au principal permettant de constater que les personnes concernées par les données à caractère personnel recueillies dans les bases de données en cause aient consenti à ce que leurs données soient transférées à des tiers en dehors de l’activité liée à la plateforme M., notamment qu’elles soient vendues à l’issue d’une procédure d’exécution forcée.

66.      D’après la juridiction de renvoi, le traitement par l’huissier de justice pourrait relever de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD (traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis), ou de l’article 6, paragraphe 1, premier alinéa, sous e), de ce règlement (traitement nécessaire aux fins de l’exécution d’une mission d’intérêt public ou d’une mission relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement) (29).

67.      Ainsi que l’observe la juridiction de renvoi, l’article 3 de la loi sur les huissiers de justice confère à l’huissier de justice le statut d’autorité publique. Il serait difficile, à mon sens, de soutenir que les opérations qui lui sont confiées dans le cadre de la mise en œuvre d’une exécution forcée visant à désintéresser le créancier ne traduisent pas l’exécution d’une mission relevant de l’exercice de l’autorité publique dont cet huissier est investi.

68.      En outre, il ne serait pas aisé de considérer que l’hypothèse visée à l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD s’applique à la situation de l’espèce. À cet égard, il importe d’observer que le champ d’application de cette disposition est strictement délimité.  En effet, ainsi qu’il ressort de l’avis 6/2014 du groupe de travail « Article 29 » (30), l’obligation légale à laquelle le responsable du traitement est soumis doit être suffisamment claire quant au traitement de données à caractère personnel qu’elle requiert. Cela implique, en particulier, l’existence de dispositions juridiques mentionnant explicitement la nature et l’objet du traitement (31).

69.      En l’occurrence, je ne pense pas que les dispositions évoquées par la juridiction de renvoi, à savoir l’article 3, paragraphe 1, l’article 9, paragraphe 1, point 1, et l’article 31, paragraphe 1, première phrase, de la loi sur les huissiers de justice, ainsi que l’article 796, paragraphe 1, et l’article 799, paragraphe 1, première phrase, du code de procédure civile, puissent être qualifiées comme telles, dans la mesure où il ressort de ces dispositions uniquement que l’huissier de justice, en sa qualité d’autorité publique, est tenu de donner suite à toute demande ayant pour objet la mise en œuvre d’une exécution forcée selon toutes les méthodes autorisées. Plus précisément, le droit polonais ne semble pas imposer à l’huissier de justice une obligation légale de vente forcée d’une base de données contenant des données à caractère personnel. À cet égard, il y a lieu de relever que l’article 831, paragraphe 1, point 3, du code de procédure civile exclut de l’exécution forcée les « droits inaliénables », ce qui pourrait être compris comme une interdiction de cession d’une base de données dans le cas où celle-ci serait incompatible avec le RGPD.

70.      Il n’est pas nécessaire, en tout état de cause, d’exclure que cette dernière hypothèse soit également pertinente en l’espèce. En effet, s’il suffit qu’une seule hypothèse de licéité trouve à s’appliquer, comme le confirme le libellé de l’article 6, paragraphe 1, premier alinéa, du RGPD, la Cour a admis qu’un seul et même traitement peut répondre à plusieurs de ces hypothèses (32).

71.      Le traitement en cause relève donc, à mon sens, de l’hypothèse de licéité inscrite à l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD.

72.      Il convient d’observer que cette hypothèse implique la prise en compte d’une autre condition de licéité du traitement.  En effet, l’article 6, paragraphe 3, du RGPD précise que le fondement du traitement visé notamment à l’article 6, paragraphe 1, premier alinéa, sous e), de ce règlement doit être défini par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, et doit répondre à un objectif d’intérêt public ainsi qu’être proportionné à l’objectif légitime poursuivi (33).

73.      Les dispositions combinées de l’article 6, paragraphe 1, premier alinéa, sous e), et de l’article 6, paragraphe 3, du RGPD exigent ainsi l’existence d’une base juridique, notamment nationale, qui sert de fondement au traitement des données à caractère personnel par les responsables de ce traitement qui agissent notamment dans le cadre d’une mission relevant de l’exercice de l’autorité publique, telle que celle assurée par l’huissier de justice dans le cadre de l’exécution forcée sur les actifs d’une société (34).

74.      À mon sens, cette base juridique consiste en l’ensemble des dispositions du droit polonais mentionnées à la première phrase du point 69 des présentes conclusions, dont il ressort que l’huissier de justice, en sa qualité d’autorité publique, est tenu de donner suite à toute demande ayant pour objet la mise en œuvre d’une exécution forcée selon toutes les méthodes autorisées.

75.      La question de savoir si le traitement en cause est conforme au RGPD requiert enfin de se pencher sur une problématique juridique supplémentaire, laquelle se situe au cœur de la présente affaire.

76.      J’observe en effet que la finalité du traitement des données à caractère personnel réalisé par l’huissier de justice, à savoir la vente forcée de bases de données d’utilisateurs de la plateforme M. afin de désintéresser les créanciers de la société NMW, diffère de la finalité initiale du traitement des données à caractère personnel par cette société, à savoir permettre l’utilisation de la plateforme M. pour les besoins de l’activité de vente en ligne de ladite société.

77.      À cet égard, il convient de rappeler que, aux termes de l’article 5, paragraphe 1, sous b), du RGPD, qui énonce le principe de la « limitation des finalités », les données à caractère personnel doivent, d’une part, être collectées pour des finalités déterminées, explicites et légitimes et, d’autre part, ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités. Cette disposition ne comporte néanmoins pas d’indications sur les conditions dans lesquelles un traitement ultérieur de données à caractère personnel peut être considéré comme étant compatible avec les finalités de la collecte initiale de ces données (35).

78.      Il résulte de l’article 6, paragraphe 4, du RGPD, lu à la lumière du considérant 50 de ce règlement (36), que l’examen d’une telle compatibilité implique la prise en compte d’une série de critères, non exhaustifs, qui y sont énumérés.

79.      Il est évident que la prise en compte de ces critères en l’espèce ne pourrait pas entraîner une réponse affirmative quant à la compatibilité des finalités en cause. Ainsi que la Cour l’a récemment précisé, lesdits critères traduisent la nécessité d’un lien concret, logique et suffisamment étroit entre les finalités de la collecte initiale des données à caractère personnel et le traitement ultérieur de ces données, et permettent ainsi de s’assurer que ce traitement ultérieur ne s’écarte pas des attentes légitimes des personnes concernées quant à l’utilisation ultérieure de leurs données (37). Or, un tel lien ne peut pas être établi dans la présente affaire.

80.      En tout état de cause, il ressort de la première phrase de l’article 6, paragraphe 4, du RGPD que l’appréciation de la compatibilité des finalités devient uniquement nécessaire « [l]orsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, [du RGPD] ».

81.      Il est acquis en l’espèce que les utilisateurs de la plateforme M. n’ont pas donné leur consentement à un traitement pour une finalité autre que celle pour laquelle leurs données à caractère personnel ont été collectées. Il convient alors de se demander si un tel traitement est fondé sur le droit national ou de l’Union et s’il peut être considéré comme étant une mesure nécessaire et proportionnée dans une société démocratique pour atteindre un des objectifs énumérés à l’article 23, paragraphe 1, du RGPD.

82.      À cet égard, il me paraît nécessaire de préciser que cette hypothèse a été interprétée par la Cour comme étant constitutive d’une véritable dérogation au principe de limitation des finalités. En prenant appui sur le considérant 50 du RGPD, la Cour a indiqué que le responsable du traitement est ainsi autorisé à effectuer un traitement ultérieur des données concernées indépendamment de la compatibilité de ce traitement avec les finalités pour lesquelles ces données ont été collectées initialement, afin de sauvegarder les objectifs importants d’intérêt public général énoncés à l’article 23, paragraphe 1, du RGPD. C’est ainsi qu’elle a conclu que l’article 6, paragraphe 4, première phrase, de ce règlement s’applique à la production en tant qu’élément de preuve d’un document contenant des données à caractère personnel de tiers collectées principalement à des fins de contrôle fiscal, ordonnée par une juridiction dans le cadre d’une procédure juridictionnelle civile (38).

83.      Bien que cette interprétation puisse mécontenter ceux qui estiment que le droit à la protection des données à caractère personnel devrait pouvoir être limité uniquement par des mesures législatives nationales, elle est pleinement conforme, selon moi, aux intentions du législateur de l’Union. Il importe de rappeler, en effet, que l’exposé des motifs relatif à la position du Conseil dans les travaux préparatoires du RGPD exprime, peut-être encore plus clairement que le considérant 50 de ce règlement, le choix de permettre au responsable du traitement une marge, soigneusement encadrée, pour effectuer un traitement incompatible avec les finalités indiquées au moment de la collecte des données à caractère personnel faisant l’objet de celui-ci (39).

84.      L’existence d’une base juridique servant de fondement au traitement en cause en l’espèce ayant déjà été établie, il convient ensuite de déterminer si ce traitement vise à garantir les objectifs énoncés à l’article 23 du RGPD.

85.      Je note que parmi ces objectifs figure, conformément au paragraphe 1, sous j), de cette disposition, « l’exécution des demandes de droit civil ». Il me paraît que le traitement des données à caractère personnel en cause est apte à garantir l’accomplissement de cet objectif. À cet égard, il importe d’observer que, selon la juridiction de renvoi, la finalité de ce traitement résulte de la lecture combinée de l’article 911 du code de procédure civile et de l’article 31, paragraphe 1, première phrase, de la loi sur les huissiers de justice, qui habilitent l’huissier de justice à vendre la base de données et, par la suite, à transférer le montant obtenu par cette vente forcée au créancier.

86.      La question de savoir si le traitement effectué par l’huissier de justice dans le cadre de la procédure d’exécution forcée se traduit par une mesure nécessaire et proportionnée dans une société démocratique pour atteindre l’objectif d’assurer l’exécution des demandes de droit civil relève de la compétence de la juridiction de renvoi. Il appartient toutefois à la Cour de donner à cette juridiction, sur la base des informations disponibles, toutes les indications nécessaires à cet effet au regard du droit de l’Union (40).

87.      Concernant la nécessité, il est constant qu’une mesure est nécessaire lorsque l’objectif légitime poursuivi ne peut pas être atteint au moyen d’une mesure aussi appropriée mais moins contraignante. En d’autres termes, est-il possible d’assurer l’exécution de la demande de la société créancière par d’autres moyens aussi efficaces mais moins attentatoires au droit des utilisateurs de la plateforme M. à la vie privée et à la protection des données à caractère personnel ? À cet égard, je me borne à observer que, selon la juridiction de renvoi, il n’est pas possible de désintéresser la société créancière sur le patrimoine de la société débitrice sans procéder à la vente forcée des bases de données concernées.

88.      Quant à la proportionnalité, l’appréciation de cette condition nécessite de procéder à une pondération des intérêts opposés en présence en fonction des circonstances concrètes du cas particulier examiné.

89.      En l’occurrence, le premier de ces intérêts, qui est un droit fondamental consacré à l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») et à l’article 16 TFUE, consiste en la protection des utilisateurs de la plateforme M. à l’égard du traitement des données à caractère personnel. Étroitement lié à celui-ci est le droit au respect de la vie privée, consacré à l’article 7 de la Charte. Ainsi que l’énonce le considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être pris en considération par rapport à sa fonction dans la société et être mis en balance, conformément au principe de proportionnalité, avec d’autres droits fondamentaux. L’un de ces droits est le droit de propriété, figurant à l’article 17 de la Charte. Or, la vente d’une base de données appartenant au débiteur dans le cadre d’une procédure d’exécution forcée contribue, à mon sens, au respect du droit de propriété du détenteur d’une créance judiciairement constatée.

90.      À cet égard, il convient de rappeler que l’article 17 de la Charte correspond à l’article 1 du protocole additionnel à la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la « CEDH »), de sorte que son sens et sa portée sont, en vertu de l’article 52, paragraphe 3, de la Charte, les mêmes que ceux que confère la CEDH à cet article 1.

91.      Selon une jurisprudence de la Cour européenne des droits de l’homme, le droit de propriété implique que les États sont tenus par l’obligation positive de mettre en place un système d’exécution des décisions de justice qui soit effectif en pratique comme en droit et qui permette d’assurer que les procédures que la législation a instaurées pour l’exécution des décisions judiciaires définitives soient mises en œuvre sans retard indu (41). Lorsque le créancier est un acteur privé, l’État est obligé d’apporter le concours nécessaire aux créanciers dans l’exécution des décisions de justice en cause, par exemple au moyen d’un service d’huissiers (42). Dans ce contexte, lorsque les autorités sont tenues d’agir pour faire exécuter un jugement et qu’elles s’en abstiennent, leur inactivité peut engager la responsabilité de l’État sur le terrain notamment de l’article 1 du protocole additionnel no 1 à la CEDH (43).

92.      Dans le cadre de l’appréciation de cette pondération entre le droit de propriété, d’une part, et les droits à la protection de données à caractère personnel et au respect de la vie privée, d’autre part, un élément spécifique ressortant du dossier pourrait, selon moi, être pris en compte.

93.      Selon la décision de renvoi, aucune disposition de droit polonais n’introduit des limitations sur le plan subjectif quant à l’acquéreur d’une base de données, la seule condition étant la possession de la capacité juridique, cette lacune impliquant que le tiers acquéreur puisse également être une entité établie en dehors de l’Union européenne, qui n’est pas tenue, en tant que telle, au respect des règles en matière de traitement des données à caractère personnel prévues par le RGPD.

94.      Dans une telle situation, il me semble que le traitement en cause entraînerait un sacrifice excessif du droit à la protection des données à caractère personnel, et ne pourrait ainsi pas être considéré comme étant une mesure proportionnée. Permettrait d’éviter un tel résultat, à titre d’illustration, une règle juridique nationale imposant à l’huissier de justice d’inclure dans le cahier des charges rédigé aux fins de la vente aux enchères une clause imposant au tiers acquéreur le respect des règles du RGPD.

 Conclusion

95.      À la lumière des considérations qui précèdent, je propose à la Cour de répondre comme suit à la question préjudicielle posée par le Sąd Rejonowy dla m. st. Warszawy w Warszawie (tribunal d’arrondissement de la ville de Varsovie, Pologne) :

L’article 6, paragraphe 1, premier alinéa, sous e), paragraphe 3 et paragraphe 4, première phrase, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

il ne s’oppose pas à une réglementation nationale qui permet à un huissier de justice de vendre, dans le cadre d’une procédure d’exécution forcée, une base de données contenant des données à caractère personnel, lorsque les personnes concernées par ces données n’ont pas donné leur consentement à une telle vente, à condition que le traitement effectué par cet huissier à l’égard desdites données constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir l’exécution d’une demande de droit civil.


1      Langue originale : le français.


2      JO 2016, L 119, p. 1.


3      JO 1996, L 77, p. 20.


4      Les utilisateurs de la plateforme M. auraient reçu un courriel, le 30 avril 2019, les informant que NMW a mis fin à ses activités liées à une telle plateforme.


5      Aucun doute n’a été soulevé quant au fait que les données figurant dans les bases de données en cause au principal doivent être qualifiées de « données à caractère personnel » au sens de l’article 4, point 1, du RGPD.


6      Arrêt du 20 octobre 2022, Digi (C‑77/21, EU:C:2022:805, point 54).


7      Arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293, point 33).


8      Voir arrêt du 3 juin 2021, Ministero dell’Istruzione, dell’Università e della Ricerca – MIUR e.a. (Chercheurs universitaires) (C‑326/19, EU:C:2021:438, point 36 et jurisprudence citée).


9      Voir arrêt du 18 octobre 2012, Football Dataco e.a. (C‑173/11, EU:C:2012:642, point 25 et jurisprudence citée).


10      Voir considérant 7 de la directive 96/9.


11      Voir considérants 39 et 40 de la directive 96/9. Voir également, arrêt du 19 décembre 2013, Innoweb (C‑202/12, EU:C:2013:850, point 36).


12      JO 1995, L 281, p. 31.


13      Contrairement à ce qu’estime la Commission dans ses observations écrites, l’article 7, paragraphe 4, de la directive 96/9 (« La protection des bases de données par le droit visé au paragraphe 1 est sans préjudice des droits existant sur leur contenu ») ne régit pas l’articulation de cette directive avec le RGPD. Voir, à cet égard, considérant 18 de ladite directive.


14      Selon une jurisprudence constante, afin de donner une réponse utile permettant à la juridiction nationale de trancher le litige dont elle est saisie, la Cour peut être amenée à prendre en considération des normes du droit de l’Union auxquelles le juge national n’a pas fait référence dans l’énoncé de sa question. Voir arrêt du 21 décembre 2023, Infraestruturas de Portugal et Futrifer Indústrias Ferroviárias (C‑66/22, EU:C:2023:1016, point 41 et jurisprudence citée).


15      Arrêt du 20 octobre 2022, Digi (C‑77/21, EU:C:2022:805, point 48).


16      Voir arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535, point 70), dans lequel la Cour était appelée à se prononcer sur la qualification de « responsable du traitement » de la Commission des pétitions du Parlement de ce Land. Voir également, arrêts du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 66), et du 20 octobre 2022, Koalitsia « Demokratichna Bulgaria – Obedinenie » (C‑306/21, EU:C:2022:813, point 39).


17      Cette interprétation découle, selon la Cour, du libellé de cette disposition, notamment de l’expression « toute opération », et du caractère non exhaustif, exprimé par la locution « telle que », des opérations qui y sont énumérées. Voir arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C‑175/20, EU:C:2022:124, point 35).


18      Un expert pourrait être désigné dans le cas où l’huissier de justice considérerait que l’estimation de la valeur de cette base de données requiert des connaissances spécialisées en raison des propriétés spécifiques de celle-ci. Dans cette hypothèse, la base de données serait mise à la disposition de l’expert par l’huissier de justice.


19      Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 72). Dans un souci d’exhaustivité, je souligne que l’arrêt mentionné portait sur l’interprétation de la notion de « traitement » telle qu’elle était définie à l’article 2, sous b), de la directive 95/46. Bien que cette directive ne soit plus en vigueur et qu’elle ait été remplacée par le RGPD, l’interprétation donnée par la Cour demeure pertinente dans le cadre de l’application de ce dernier, étant donné que la définition de cette notion demeure identique dans les deux instruments, à l’exception de modifications formelles mineures. Je ferai donc référence aux arrêts portant sur l’un ou l’autre instrument sans opérer de distinction.


20      Ainsi que la Cour l’a jugé, l’objectif de l’article 4, point 7, du RGPD est en effet d’assurer, par une définition large de la notion de « responsable du traitement », une protection efficace et complète des personnes concernées. Voir arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, point 29 et jurisprudence citée).


21      Arrêt du 8 décembre 2022, Google (Déréférencement d’un contenu prétendument inexact) (C‑460/20, EU:C:2022:962, point 51 et jurisprudence citée).


22      Arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2024:7, points 29 et 30). Voir également, lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD, adoptées le 7 juillet 2021, disponibles à l’adresse Internet suivante : https://edpb.europa.eu/system/files/2023-10/edpb_guidelines_202007_controllerprocessor_final_fr.pdf, point 24, selon lesquelles, « plus fréquemment, plutôt que de désigner directement le responsable du traitement ou de définir les critères applicables à sa désignation, la législation confiera une mission ou imposera à quelqu’un l’obligation de collecter et de traiter certaines données. Dans ce cas, la finalité du traitement est souvent déterminée par la loi. Le responsable du traitement sera normalement celui désigné par la loi en vue de la réalisation de cette finalité, de cette mission de service public »).


23      Arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C‑175/20, EU:C:2022:124, notamment points 37, 38 et 60).


24      Arrêt du 11 janvier 2024 (C‑231/22, EU:C:2024:7, point 49). Je tiens à préciser que, d’après la jurisprudence, l’existence d’une responsabilité conjointe ne se traduit pas nécessairement par une responsabilité équivalente, pour un même traitement des données à caractère personnel, des différents acteurs. Au contraire, ces acteurs peuvent être impliqués à différents stades de ce traitement et selon différents degrés, de telle sorte que le niveau de responsabilité de chacun d’entre eux doit être évalué en tenant compte de toutes les circonstances pertinentes du cas d’espèce. Voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, point 42 et jurisprudence citée).


25      Voir chapitre II du RGPD. Selon l’article 5, paragraphe 2, du RGPD,« [l]e responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) ».


26      Voir chapitre III du RGPD.


27      Arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 et jurisprudence citée).


28      Voir article 6, paragraphe 1, premier alinéa, sous a), et considérant 40 du RGPD, qui traduit l’adage latin « volenti non fit iniuria » (nul ne fait tort à qui consent).


29      Ce doute n’est pas surprenant dans la mesure où il existe un chevauchement évident des champs d’application respectifs de ces deux hypothèses, les missions d’intérêt public ou relevant de l’autorité publique reposant généralement sur une disposition légale.


30      Il s’agit d’un organe consultatif indépendant institué en vertu de l’article 29 de la directive 95/46 et remplacé depuis l’adoption du RGPD par le Comité européen de la protection des données.


31      À titre d’illustration, il est fait mention d’une obligation, incombant à une autorité locale, de collecter des données à caractère personnel aux fins du traitement des amendes pour stationnement irrégulier.


32      Arrêt du 9 mars 2017, Manni (C‑398/15, EU:C:2017:197, point 42).


33      Voir également considérant 45 du RGPD.


34      Voir arrêt du 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, point 32).


35      Voir arrêt du 20 octobre 2022, Digi (C‑77/21, EU:C:2022:805, point 32).


36      Aux termes de ce considérant, « [l]orsque la personne concernée a donné son consentement ou que le traitement est fondé sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir, en particulier, d’importants objectifs d’intérêt public général, le responsable du traitement devrait être autorisé à effectuer un traitement ultérieur des données à caractère personnel indépendamment de la compatibilité des finalités ».


37      Arrêt du 20 octobre 2022, Digi (C‑77/21, EU:C:2022:805, point 36).


38      Arrêt du 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, points 33 à 41).


39      Exposé des motifs du Conseil : position (UE) nº 6/2016 du Conseil en première lecture en vue de l’adoption d’un règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), adoptée le 8 avril 2016 (point 3.3).


40      Arrêt du 7 septembre 2016, ANODE (C‑121/15, EU:C:2016:637, point 54 et jurisprudence citée).


41      Cour EDH, 7 juin 2005, Fuklev c. Ukraine (CE:ECHR:2005:0607JUD007118601, § 91).


42      Voir, notamment, Cour EDH, 19 octobre 2006, Kesyan c. Russie (CE:ECHR:2006:1019JUD003649602, § 80).


43      Voir, notamment, Cour EDH, 28 septembre 1995, Scollo c. Italie (CE:ECHR:1995:0928JUD001913391, § 44).

Top