EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 62023CC0200
Opinion of Advocate General Medina delivered on 30 May 2024.###
Conclusions de l'avocat général Mme L. Medina, présentées le 30 mai 2024.
Conclusions de l'avocat général Mme L. Medina, présentées le 30 mai 2024.
ECLI identifier: ECLI:EU:C:2024:445
Édition provisoire
CONCLUSIONS DE L’AVOCATE GÉNÉRALE
MME LAILA MEDINA
présentées le 30 mai 2024 (1)
Affaire C‑200/23
Agentsia po vpisvaniyata
contre
OL,
en présence de
Varhovna administrativna prokuratura
[demande de décision préjudicielle formée par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie)]
« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Publication, dans le registre du commerce, d’un contrat de société comportant des données à caractère personnel – Directive (UE) 2017/1132 – Responsable du traitement – Droit à l’effacement des données à caractère personnel »
I. Introduction
1. Par sa demande de décision préjudicielle, le Varhoven administrativen sad (Cour administrative suprême, Bulgarie) pose à la Cour une série de questions portant, en substance, sur l’articulation entre les dispositions en matière de publicité des actes des sociétés, qui font l’objet d’une coordination au niveau de l’Union (2), et le règlement (UE) 2016/679 (3).
2. Cette demande a été présentée dans le cadre d’un litige opposant l’Agentsia po vpisvaniyata (agence chargée des inscriptions aux registres, Bulgarie, ci-après l’« agence ») à OL au sujet du refus de cette agence de radier certaines données à caractère personnel concernant OL figurant dans un acte mis à la disposition du public au registre du commerce.
II. Le cadre juridique
A. Le droit de l’Union
3. Entrent en ligne de compte, aux fins des présentes conclusions, notamment les articles 14 et 16 de la directive 2017/1132, qui a remplacé la directive 2009/101, ainsi que les articles 4 à 6 et 17 du RGPD. Pour une meilleure lisibilité, il sera fait référence au libellé des dispositions pertinentes de ces articles dans le cadre de la présente analyse.
B. Le droit bulgare
4. L’article 2 du Zakon za targovskia registar i registara na yuridicheskite litsa s nestopanska tsel (loi relative au registre du commerce et au registre des personnes morales à but non lucratif (4)), dans sa version applicable au litige au principal (ci-après la « loi relative aux registres »), dispose :
« (1) Le registre du commerce et le registre des personnes morales à but non lucratif [ci-après « les registres »] sont une base de données électronique commune comportant les circonstances inscrites en vertu d’une loi, ainsi que les actes mis à la disposition du public en vertu d’une loi, qui concernent les commerçants et les succursales de commerçants étrangers, les personnes morales à but non lucratif et les succursales de personnes morales étrangères à but non lucratif.
(2) Les circonstances et actes visés au paragraphe 1 sont mis à la disposition du public exempts des informations constituant des données à caractère personnel au sens de l’article 4, point 1, du [RGPD], à l’exception des informations qui doivent être mises à la disposition du public en vertu de la loi. »
5. Aux termes de l’article 6, paragraphe 1, de la loi relative aux registres, tout commerçant et toute personne morale à but non lucratif sont tenus de demander à être inscrits aux registres, en déclarant les circonstances dont l’inscription est requise et en présentant les actes devant être mis à la disposition du public.
6. L’article 11 de cette loi est libellé comme suit :
« (1) [Les registres] sont publics. Quiconque a le droit d’accéder librement et gratuitement à la base de données constituant les registres.
(2) L’[agence] assure un accès enregistré au dossier du commerçant ou de la personne morale à but non lucratif. »
7. L’article 13, paragraphes 1, 2, 6 et 9, de ladite loi dispose :
« (1) L’inscription, la radiation et la mise à la disposition du public sont effectuées sur la base d’un formulaire de demande.
(2) La demande comporte :
1. les coordonnées du demandeur ;
[...]
3. la circonstance soumise à inscription, l’inscription dont la radiation est demandée, ou l’acte devant être mis à la disposition du public ;
[...]
(6) [L]a demande est accompagnée des documents ou, selon les cas, de l’acte devant être mis à la disposition du public, conformément aux exigences de la loi. Les documents sont présentés sous la forme d’un original, d’une copie certifiée conforme par le demandeur ou d’une copie certifiée par voie notariale. Le demandeur présente également des copies certifiées conformes des actes devant être mis à la disposition du public au registre du commerce, dans lesquels les données à caractère personnel autres que celles requises par la loi ont été occultées.
[...]
(9) Lorsque la demande ou les documents qui y sont joints mentionnent des données à caractère personnel qui ne sont pas requises par la loi, les personnes qui les ont fournies sont réputées avoir consenti à leur traitement par l’[agence] et à leur mise à disposition du public. »
8. L’article 101, point 3, du Targovski zakon (loi commerciale (5)), dans sa version applicable au litige au principal (ci-après la « loi commerciale »), dispose que le contrat de société doit comporter « le nom, la dénomination sociale et le code d’identification unique des associés ».
9. Aux termes de l’article 119, paragraphe 1, de la loi commerciale, l’inscription d’une société au registre du commerce requiert, entre autres, la présentation du contrat de société qui est mis à la disposition du public. Conformément au paragraphe 4 de cet article, « aux fins de modifier ou de compléter le contrat de société au registre du commerce, une copie dudit contrat comportant toutes les modifications et tous les ajouts, certifiée conforme par l’organe représentant la société, est présentée en vue d’une mise à la disposition du public ».
III. Le litige au principal et les questions préjudicielles
10. OL est associée d’une « OOD », société à responsabilité limitée de droit bulgare, qui a été inscrite le 14 janvier 2021 au registre du commerce. La demande d’inscription était accompagnée du contrat de société, daté du 30 décembre 2020, signé par les associés (ci-après le « contrat de société de 2020 »). Ce contrat, comportant les nom et prénom d’OL, son numéro d’identification, le numéro de sa carte d’identité, la date et le lieu de délivrance de celle-ci et son adresse permanente, a été inscrit et mis à la disposition du public tel qu’il avait été présenté. Le 8 juillet 2021, OL a demandé à l’agence de radier les données à caractère personnel la concernant figurant dans le contrat de société de 2020, en précisant que, si le traitement de ses données reposait sur son consentement, elle le retirait. En l’absence de réponse de l’agence, OL a saisi l’Administrativen sad Dobrich (tribunal administratif de Dobrich, Bulgarie), lequel a annulé le refus implicite de l’agence de donner suite à la demande d’OL et a renvoyé l’affaire à celle-ci afin qu’elle adopte une nouvelle décision. En exécution de ce jugement, et d’un jugement analogue concernant l’autre associé ayant effectué la même démarche, par courrier en date du 26 janvier 2022, l’agence a indiqué qu’une copie certifiée conforme du contrat de société de 2020 occultant les données à caractère personnel des associés, à l’exception de celles requises par la loi, devait lui être transmise pour qu’il puisse être fait droit à la demande de radiation (ci-après le « courrier du 26 janvier 2022 »). Le 31 janvier 2022, OL a de nouveau saisi l’Administrativen sad Dobrich (tribunal administratif de Dobrich) aux fins de voir le courrier du 26 janvier 2022 annulé et l’agence condamnée à l’indemniser du dommage moral que ce courrier, portant atteinte aux droits conférés par le RGPD, lui aurait causé. Le 1er février 2022, avant de recevoir notification de ce recours, l’agence a d’office radié le numéro d’identification, les données relatives à la carte d’identité et l’adresse d’OL mais non ses nom, prénom et signature. Par jugement du 5 mai 2022, l’Administrativen sad Dobrich (tribunal administratif de Dobrich) a annulé le courrier du 26 janvier 2022 et condamné l’agence à indemniser OL à hauteur de 500 leva bulgares (BGN) (environ 255 euros), outre les intérêts légaux, au titre du dommage moral, en vertu de l’article 82 du RGPD. Selon ce jugement, ce dommage consistait en des émotions et expériences négatives résultant de ce courrier, lequel a induit une violation du droit à l’effacement consacré à l’article 17, paragraphe 1, du RGPD ainsi qu’un traitement illicite de ses données contenues dans le contrat mis à la disposition du public. L’agence a formé un pourvoi en cassation contre ce jugement devant la juridiction de renvoi. Elle fait valoir, notamment, qu’elle est responsable du traitement mais également destinataire des données transmises dans le cadre de la procédure d’enregistrement et que, bien qu’elle en ait fait la demande préalablement à l’enregistrement de la société dont OL était l’associée, elle n’aurait reçu aucune copie du contrat de cette société occultant les données qui ne devaient pas être mises à la disposition du public. Or, l’inscription d’une société commerciale ne pourrait être refusée pour ce seul motif. Elle se réfère à un avis de 2021 de l’autorité de contrôle nationale, la Komisia za zashtita na lichnite danni (commission de la protection des données à caractère personnel, Bulgarie), présenté en vertu de l’article 58, paragraphe 3, sous b), du RGPD (ci‑après l’« avis de 2021 ») (6), dans lequel il est affirmé qu’elle n’est pas autorisée à modifier le contenu des actes qu’elle reçoit en vue de leur inscription au registre. Pour sa part, OL soutient que, en tant que responsable du traitement, l’agence ne peut imposer à d’autres personnes ses propres obligations de radiation. Elle invoque une jurisprudence nationale selon laquelle l’avis de 2021 n’est pas conforme aux dispositions du RGPD.
11. C’est dans ces conditions que le Varhoven administrativen sad (Cour administrative suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 4, paragraphe 2, de la directive [2009/101] peut-il être interprété en ce sens qu’il impose à l’État membre une obligation d’autoriser la publicité d’un contrat de société dont l’inscription est requise au titre de l’article 119 [de la loi commerciale] et qui contient non seulement les noms des associés qui doivent obligatoirement être mis à la disposition du public sur la base de l’article 2, paragraphe 2, [de la loi relative aux registres], mais aussi d’autres données à caractère personnel les concernant ? Dans la réponse à apporter à cette question, il importe de tenir compte du fait que l’[agence] est un organisme public à l’égard duquel, selon une jurisprudence constante de la Cour, les dispositions d’une directive ayant un effet direct peuvent être invoquées (arrêt du 7 septembre 2006, Vassallo, C‑180/04, EU:C:2006:518, point 26 et jurisprudence citée).
2) En cas de réponse affirmative à la question précédente, est-il possible de considérer que, dans les circonstances à l’origine du litige au principal, le traitement des données à caractère personnel par l’[agence] est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement au sens de l’article 6, [paragraphe] 1, sous e) du [RGPD] ?
3) En cas de réponse affirmative aux questions précédentes, est-il possible de considérer qu’une réglementation nationale telle que l’article 13, paragraphe 9, [de la loi relative aux registres], qui prévoit que lorsque la demande ou les documents qui y sont joints mentionnent des données à caractère personnel qui ne sont pas requises par la loi, les personnes qui les ont fournies sont réputées avoir consenti à leur traitement par l’[agence] et à leur mise à la disposition du public, est permise, nonobstant les considérants 32, 40, 42, 43 et 50 du [RGPD], en ce qu’elle clarifie la possibilité d’une “publicité volontaire”, au sens de l’article 4, paragraphe 2, de la directive [2009/101], même de données à caractère personnel ?
4) Aux fins de la mise en œuvre de l’obligation incombant aux États membres en vertu de l’article 3, paragraphe 7, de la directive [2009/101] de prendre les mesures nécessaires pour éviter toute discordance entre la teneur de la publicité effectuée en application du paragraphe 5 et celle du registre ou du dossier et de prendre en considération les intérêts des tiers de connaître les actes essentiels de la société et certaines indications la concernant, mentionnés au considérant 3 de cette directive, l’adoption d’une législation nationale qui prévoit des modalités procédurales (formulaires de demande, présentation d’une copie de documents occultant des données à caractère personnel) d’exercice du droit de la personne physique au titre de l’article 17 du [RGPD] de demander au responsable du traitement l’effacement de données à caractère personnel la concernant dans les meilleurs délais est-elle permise, lorsque les données à caractère personnel dont la radiation est demandée font partie de documents publiés officiellement (mis à la disposition du public) et transmis au responsable du traitement selon des modalités procédurales similaires par un tiers qui a également déterminé, par ce fait, la finalité du traitement qu’il a initié ?
5) Dans les circonstances à l’origine du litige au principal, l’[agence] agit-elle uniquement en qualité de responsable de données à caractère personnel ou bien est-elle également leur destinataire, lorsque la finalité de leur traitement en tant que partie de documents présentés en vue d’être mis à la disposition du public a été déterminée par un autre responsable de traitement ?
6) La signature manuscrite de la personne physique constitue-t-elle une information se rapportant à une personne physique identifiée et, partant, est-elle incluse dans la notion de « données à caractère personnel » au sens de l’article 4, [point] 1, du [RGPD] ?
7) Convient-il d’interpréter la notion de “dommage moral” à l’article 82, paragraphe 1, du [RGPD] en ce sens qu’elle requiert l’existence de conséquences négatives perceptibles et d’une atteinte à des intérêts personnels objectivement démontrable, ou bien suffit-il que la personne concernée perde, brièvement, son droit souverain de disposer de ses données à caractère personnel en raison de la mise à disposition de ces données au public dans le registre du commerce, en l’absence de conséquences perceptibles ou défavorables pour la personne concernée ?
8) L’avis [de 2021] émis par l’autorité de contrôle nationale, la [commission de la protection des données à caractère personnel], sur le fondement de l’article 58, paragraphe 3, sous b), du [RGPD], selon lequel l’[agence] ne dispose pas de la possibilité juridique ni des pouvoirs de limiter, d’office ou sur demande de la personne concernée, le traitement de données déjà mises à la disposition du public, peut-il être considéré comme une preuve au sens de l’article 82, paragraphe 3, du [RGPD] de ce que le fait prétendument à l’origine du dommage occasionné à la personne physique n’est nullement imputable à l’[agence] ? »
IV. La procédure devant la Cour
12. Les parties au principal, les gouvernements bulgare, allemand, irlandais, italien, polonais et finlandais ainsi que la Commission ont présenté des observations écrites, au titre de l’article 23 du statut de la Cour de justice de l’Union européenne, soit sur l’intégralité soit sur une partie des questions préjudicielles. Les parties au principal, les gouvernements bulgare et irlandais ainsi que la Commission ont également été entendus en leurs plaidoiries orales lors de l’audience du 7 mars 2024.
A. Analyse
13. Sur demande de la Cour, les présentes conclusions seront ciblées sur la quatrième et la cinquième question préjudicielle, que je propose de traiter conjointement. Avant de procéder à mon analyse, j’estime nécessaire de faire quelques observations liminaires qui concernent le renvoi préjudiciel dans son ensemble.
1. Observations liminaires
14. Il convient, tout d’abord, de relever – ainsi que l’ont fait les parties au principal, la Commission et la plupart des États membres ayant présenté des observations devant la Cour – que les motifs de la décision de renvoi, ainsi que le libellé des questions préjudicielles – y compris, notamment, la quatrième question – font référence aux dispositions de la directive 2009/101. Celle-ci a cependant été abrogée et remplacée, à compter du 20 juillet 2017, par la directive 2017/1132, qui est applicable ratione temporis aux faits de la procédure au principal. Dans la suite de mon analyse, je me référerai donc uniquement à cette dernière directive.
15. Il y a ensuite lieu de rappeler que la directive 2017/1132 et notamment ses articles 16 et 161, pour ce qui importe aux fins de l’examen du présent renvoi préjudiciel, ont été modifiés par la directive (UE) 2019/1151 (7), entrée en vigueur le 31 juillet 2019. Or, s’il est vrai, ainsi que le souligne la Commission, que l’inscription dans le registre du commerce du contrat de société de 2020 contenant les données à caractère personnel d’OL est intervenue avant le 1er août 2021, date d’expiration du délai de transposition de la directive 2019/1151 (8), une partie des faits s’est déroulée après cette date, y compris l’envoi par l’agence du courrier du 26 janvier 2022, l’effacement d’office par celle-ci de certaines de ces données, ainsi que leur nouvelle mise à la disposition du public dans le registre, dont fait état la défenderesse au principal dans ses observations écrites. Il n’est, dès lors, pas exclu que ce soit la version de la directive 2017/1132 telle que modifiée par la directive 2019/1151 qui soit applicable ratione temporis dans le cadre du litige au principal, ce qu’il appartient à la juridiction de renvoi de vérifier. C’est pourquoi je me référerai, dans la suite de mon analyse, à cette version.
16. Je précise cependant, d’ores et déjà, que les modifications introduites par la directive 2019/1151 n’ont, en tant que telles, qu’une incidence limitée sur la question de savoir selon quelles modalités l’autorité d’un État membre responsable de la tenue du registre des sociétés est censée assurer la protection des données personnelles dans l’exercice de ses fonctions. En revanche, il importe de souligner, sur un plan plus général, que cette directive vise à renforcer et à consolider l’utilisation d’outils et de processus numériques dans la collecte et la gestion des flux d’informations concernant les sociétés, ce qui comporte un accès accru aux données à caractère personnel qu’elles renferment et augmente le risque d’atteintes au droit à la protection de telles données ainsi que le caractère dommageable de ces atteintes (9). Or, un tel processus de digitalisation (10), couplé avec une intensification de l’accessibilité transfrontière auxdites informations, également visée par le législateur de l’Union (11), requiert une attention particulière lors de la mise en balance entre, d’une part, les objectifs de sécurité juridique et de protection des droits des tiers qui sous-tendent, comme on le verra, les règles en matière de publicité relative aux sociétés, et, d’autre part, les droits fondamentaux au respect de la vie privée et à la protection des données personnelles (12).
17. Toujours à titre liminaire, je relève que le litige au principal porte sur la suppression, dans le registre du commerce d’un État membre, de données personnelles dont la mise à la disposition du public n’est requise ni par la directive 2017/1132 ni par le droit de l’État membre concerné, ainsi que sur la responsabilité de l’autorité nationale chargée de la tenue de ce registre pour le préjudice moral causé par le refus de donner une suite immédiate et inconditionnelle à la demande d’effacement de telles données. En revanche, le litige au principal ne porte pas directement sur la question de savoir quelles sont les obligations qui incombent à une telle autorité au titre de la protection des données à caractère personnel lors de l’inscription dans le registre de commerce des actes constitutifs d’une société qui renferment des données dont la publication n’est pas obligatoire. Cette question reste néanmoins en filigrane, ainsi qu’il ressort du fait que bon nombre des États membres intervenants y ont consacré une large partie de leurs observations, en proposant une reformulation radicale des quatre premières questions préjudicielles ou de certaines d’entre elles. Dans la suite de mon analyse, j’aborderai certains aspects de cette question, tout en me tenant dans les limites tracées par l’objet de la procédure au principal et par les questions préjudicielles sur lesquelles les présentes conclusions sont ciblées.
2. Sur la quatrième et la cinquième questions préjudicielles
18. Par sa quatrième question préjudicielle, dont la recevabilité est contestée par le gouvernement bulgare, la juridiction de renvoi cherche en substance à savoir si la directive 2017/1132 doit être interprétée en ce sens qu’elle permet de soumettre à des conditions procédurales spécifiques le droit d’une personne physique, en l’espèce les associés d’une société à responsabilité limitée visée par cette directive (13), d’obtenir l’effacement du registre du commerce de données à caractère personnel les concernant, qui, tout en ne comptant pas parmi les informations soumises à publicité obligatoire en vertu du droit national, figurent dans l’acte constitutif de cette société ayant été mis à la disposition du public dans le cadre de l’inscription de celle-ci audit registre. Par sa cinquième question préjudicielle, la juridiction de renvoi demande en revanche à la Cour de préciser si, s’agissant de telles données, l’autorité chargée de la tenue du registre de commerce agit en qualité de « responsable du traitement » au titre de l’article 4, point 7, du RGPD ou si elle est également « destinataire » des données qu’elle traite, au sens de l’article 4, point 9, de ce règlement, la finalité de leur traitement ayant été déterminée en amont par un tiers.
19. Ainsi que je l’ai précédemment mentionné, il convient, à mon sens, de traiter ces deux questions conjointement. À cette fin, j’aborderai les différentes interrogations qu’elles soulèvent dans l’ordre suivant. Après un bref aperçu de la portée des obligations en matière de publicité des sociétés visées à l’annexe II de la directive 2017/1132, j’examinerai, en premier lieu, la question de savoir qui est le responsable du traitement des données à caractère personnel contenues dans des actes soumis à publicité obligatoire dans le contexte de l’inscription d’une société dans le registre du commerce d’un État membre lorsque, comme en l’occurrence, la divulgation des données concernées n’est requise ni par le droit harmonisé de l’Union ni par le droit de l’État membre concerné. En deuxième lieu, j’aborderai la question de savoir quel est, en l’occurrence, le fondement juridique du traitement de telles données. En troisième lieu, je me pencherai sur la question de savoir si, une fois que lesdites données ont été divulguées à la suite de la mise à la disposition du public de l’acte dans lequel elles étaient contenues, les personnes intéressées disposent d’un droit à l’effacement conformément à l’article 17 du RGPD. Enfin, en quatrième lieu, j’aborderai la question de savoir si un tel droit peut être soumis à des modalités procédurales telles que celles mentionnées par la juridiction de renvoi.
20. Avant de procéder à cette analyse, il convient de répondre aux contestations soulevées par le gouvernement bulgare quant à la recevabilité de la quatrième question préjudicielle. Ce gouvernement estime que la quatrième question préjudicielle porte, en substance, sur la compatibilité avec l’article 16, paragraphe 7, de la directive 2017/1132 – dans sa version antérieure aux modifications apportées par la directive 2019/1151 – d’une législation nationale qui n’aurait pas encore été adoptée. La question aurait donc une nature hypothétique. À cet égard, je relève que la juridiction de renvoi est appelée à se prononcer, en dernier ressort, sur la légalité du refus de l’agence de procéder à l’effacement de certaines données à caractère personnel de la défenderesse contenues dans un acte mis à la disposition du public à la suite de l’inscription de celle-ci au registre du commerce, ainsi que sur les conséquences de ce refus. Pour ce faire, la juridiction de renvoi est notamment appelée à apprécier, au regard des dispositions de la directive 2017/1132 et du RGPD, si un tel refus peut être justifié, entre autres, par le fait que la copie conforme de cet acte, expurgée des données personnelles en cause, n’a pas été versée au dossier. La décision préjudicielle sollicitée est donc nécessaire pour permettre à la juridiction de renvoi de rendre son jugement dans le litige dont elle est saisie. En outre, malgré le libellé ambigu de la quatrième question préjudicielle, il ressort clairement de la décision de renvoi que cette question ne vise pas à obtenir un avis sur la compatibilité avec le droit de l’Union d’une législation nationale non encore adoptée, mais à solliciter de la Cour les éléments d’interprétation de ce droit qui lui sont nécessaires pour la solution du litige qu’elle est appelée à trancher. La quatrième question préjudicielle est donc, à mon sens, recevable.
3. Bref aperçu sur la portée des obligations en matière de publicité des actes et des indications concernant les sociétés visées à l’annexe II de la directive 2017/1132
21. L’article 14 de la directive 2017/1132 prévoit que, pour les formes de sociétés figurant à l’annexe II de cette directive, les États membres publient obligatoirement « au moins » les actes et indications qui y sont énumérés. Parmi les actes soumis à publicité obligatoire, l’article 14 de ladite directive mentionne, à ses points a) à c), « l’acte constitutif, et les statuts [de la société] s’ils font l’objet d’un acte séparé », ainsi que leurs modifications. Conformément à l’article 4, sous i), de la même directive, les informations obligatoires à fournir dans les statuts, dans l’acte constitutif ou dans un document séparé qui fait l’objet de publicité comprennent l’identité des personnes physiques ou morales ou des sociétés qui ont signé ou au nom de qui ont été signés les statuts ou l’acte constitutif. Parmi les indications dont la publicité doit être assurée, cet article 14 mentionne, à son point d), « la nomination, la cessation des fonctions ainsi que l’identité des personnes qui, en tant qu’organe légalement prévu, ou membres de tel organe[,] ont le pouvoir d’engager la société à l’égard des tiers et de la représenter en justice » et/ou « participent à l’administration, à la surveillance ou au contrôle de la société ». Conformément à l’article 16, paragraphe 2, de la directive 2017/1132, telle que modifiée par la directive 2019/1151, tous les actes et informations qui doivent faire l’objet d’une publicité en vertu de l’article 14 sont versés au dossier visé au paragraphe 1 de cet article, ouvert auprès d’un registre central du commerce ou des sociétés, ou transcrits directement dans le registre (14). Aux termes de l’article 16, paragraphes 3 et 4, de cette directive, telle que modifiée par la directive 2019/1151, les États membres veillent à ce que la publicité des actes et informations visés à l’article 14 de celle-ci soit assurée en les rendant accessibles au public dans le registre. Par ailleurs, les États membres peuvent également exiger la publication de tout ou partie des actes et informations dans un bulletin national désigné à cet effet, ou par des moyens d’effet équivalent. Les États membres prennent toutes les mesures nécessaires pour éviter toute discordance entre la teneur du registre et celle du dossier ainsi qu’entre ce qui est publié au registre et ce qui est publié au bulletin.
22. Les observations suivantes peuvent être faites au regard des prescriptions susmentionnées de la directive 2017/1132.
23. Premièrement, la directive 2017/1132 prévoit la publicité obligatoire et l’accessibilité par le biais du registre de l’intégralité de l’acte constitutif de la société, ainsi que de ses modifications (15).
24. Deuxièmement, s’agissant des sociétés visées par son annexe II, cette directive ne prescrit la publicité et l’accessibilité par le biais du registre que d’informations concernant certaines catégories de personnes, à savoir, notamment, celles qui ont le pouvoir d’engager la société ou qui participent à l’administration, à la surveillance ou au contrôle de celle-ci. Conformément à l’article 4, sous i), de ladite directive, l’identité des personnes physiques ayant signé l’acte constitutif de la société est également soumise à publicité.
25. Troisièmement, ces informations, se rapportant à des personnes physiques identifiées ou identifiables, constituent des « données à caractère personnel » aux termes de l’article 4, point 1, du RGPD (16).
26. Quatrièmement, les dispositions susmentionnées de la directive 2017/1132 ne contiennent que des prescriptions minimales en matière de publicité des actes et des informations relatives aux sociétés. Il revient dès lors aux États membres de déterminer, notamment, quelles catégories d’informations concernant l’identité des personnes visées à l’article 4, sous i) et à l’article 14, sous d), de cette directive font l’objet de publicité obligatoire. Les États membres sont par ailleurs libres de soumettre à une telle publicité d’autres actes ou d’autres indications, portant, le cas échéant, sur d’autres catégories de personnes. Il va de soi que, dans cet exercice, ils sont tenus de respecter toutes les dispositions du droit de l’Union et, notamment, les principes inscrits à l’article 8 et à l’article 52, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») et les dispositions du RGPD.
4. Sur le responsable du traitement
27. L’article 4, point 7, du RGPD définit de manière large la notion de « responsable du traitement » comme visant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, « détermine les finalités et les moyens du traitement » de données à caractère personnel. L’objectif de cette définition large consiste, en conformité avec celui de ce règlement, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (17). La notion de « traitement » fait aussi l’objet d’une définition large (18). Aux termes de l’article 4, point 2, du RGPD, on entend par « traitement » « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
28. Il ressort de l’arrêt Manni que, en transcrivant et en conservant dans le registre du commerce les informations sur l’identité des personnes mentionnées à l’article 14, sous d), de la directive 2017/1132, et en communiquant celles-ci, l’autorité chargée de la tenue de ce registre effectue un « traitement de données à caractère personnel », pour lequel elle est le « responsable », au sens des définitions fournies à l’article 4, points 2 et 7, du RGPD. Il en va de même, de toute évidence, lorsque la transcription dans ce registre, la conservation et la communication ont pour objet des données personnelles autres que celles expressément mentionnées par cette directive, lorsque la publicité de ces données est prescrite par le droit d’un État membre.
29. La question qui se pose dans la présente affaire est cependant celle de savoir si une telle autorité, en l’occurrence l’agence, est responsable de la mise à la disposition du public de données personnelles dont la publicité n’est requise ni par la directive 2017/1132 ni par le droit de l’État membre concerné, en l’occurrence le droit bulgare, mais qui sont contenues dans un acte dont la transcription et la divulgation sont obligatoires.
30. Cette question appelle à mon sens une réponse affirmative.
31. La mise à la disposition du public dans le registre du commerce des données à caractère personnel d’OL est en effet intervenue dans l’exercice des attributions dévolues à l’agence en tant qu’autorité chargée de la tenue de ce registre. Ainsi qu’il a été précédemment mentionné, la législation bulgare prévoit que la demande d’inscription d’une société audit registre est accompagnée de l’original ou d’une copie certifiée conforme des actes qui sont soumis à publicité, parmi lesquels figure le contrat de société, que l’agence est tenue de mettre à la disposition du public. Les finalités et les moyens du traitement des données à caractère personnel effectué par l’agence dans l’accomplissement de sa mission sont aussi déterminés par le droit bulgare ainsi que par le droit de l’Union qui, comme on l’a vu, a procédé à un rapprochement des législations des États membres en matière de publicité des sociétés. En tant qu’autorité chargée de traiter les données à caractère personnel figurant dans les actes transcrits dans le registre du commerce conformément aux finalités et aux moyens déterminés par la législation bulgare et par celle de l’Union, l’agence doit dès lors être considérée comme étant « responsable du traitement » au sens de l’article 4, point 7, du RGPD. Je relève que la Cour est récemment parvenue à une conclusion analogue, s’agissant de l’organisme national chargé par la loi de la tenue du Journal officiel d’un État membre, dans l’arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel) (19).
32. Cette conclusion n’est pas remise en cause par la circonstance que, en l’occurrence, les données contenues dans le contrat de société de 2020 ne comptent pas parmi celles qui doivent être mises à la disposition du public en vertu du droit bulgare. D’une part, la non-incidence d’une telle circonstance sur l’identification du responsable du traitement a été implicitement admise par la Cour dans l’arrêt État belge. En effet, dans l’affaire ayant donné lieu à cet arrêt, comme dans celle à l’origine du présent renvoi préjudiciel, le litige portait sur des données dont la mise à la disposition du public n’était pas requise par la loi de l’État membre concerné. D’autre part, l’article 13, paragraphe 9, de la loi relative aux registres prévoit explicitement que, dans le cas où le demandeur ne présente pas une copie conforme de l’acte soumis à publicité expurgée des données à caractère personnel non requises, l’agence procède à leur traitement et à leur mise à la disposition du public sur le fondement d’un consentement implicite présumé. Dès lors, même dans de pareilles circonstances, la législation bulgare désigne explicitement l’agence comme étant le responsable du traitement.
33. Dans ces circonstances, je ne puis souscrire à la thèse avancée par l’agence dans ses observations écrites, selon laquelle si le demandeur ne procède pas à l’occultation des informations non requises par la loi contenues dans les actes qu’il transmet aux fins de l’inscription au registre, il devient lui-même responsable du traitement consistant en leur mise en ligne dans ce registre. En effet – indépendamment de la question de savoir si un consentement à la publication de ces informations peut être valablement donné en faisant jouer la présomption prévue par l’article 13, paragraphe 9, de la loi relative aux registres – l’existence d’un tel consentement ne saurait avoir une incidence sur la détermination du responsable du traitement, mais uniquement sur la licéité de celui-ci.
34. De même est dépourvue de pertinence la circonstance, également mise en exergue par l’agence, selon laquelle les documents déposés dans le cadre d’une demande d’inscription au registre du commerce ne sont pas des données structurées ou lisibles par machine, contrairement aux champs numériques de ce registre, qui sont remplis par l’agent procédant à l’inscription et correspondent à la définition légale du « registre » en droit bulgare. En effet, l’agence est l’autorité chargée par la loi bulgare de la tenue du registre du commerce et est, par conséquent, responsable de tout traitement des données à caractère personnel publiées dans celui-ci, indépendamment de la circonstance que ces données soient contenues dans un document accompagnant la demande ou soient encodées par un fonctionnaire de l’agence. Ainsi, même lorsqu’elle ne procède pas elle-même à une transformation numérique des documents qu’elle reçoit, elle est néanmoins responsable de la divulgation de ces documents, et des données qu’ils contiennent, par le biais du registre. Plus généralement, dans le cadre de sa mission d’intérêt public, elle collecte, enregistre, conserve, organise et ordonne l’ensemble des données, des actes et des documents qu’elle reçoit dans une base de données structurée, laquelle est reconnue comme source fiable et authentique d’informations.
35. Enfin, la qualification de l’agence en tant que « responsable du traitement » au sens de l’article 4, paragraphe 7, du RGPD n’est pas remise en cause par le fait qu’elle ne contrôle pas, avant leur mise en ligne, les données à caractère personnel contenues dans les images électroniques ou les originaux papier des documents transmis aux fins de l’inscription, ni par le fait qu’elle ne peut pas modifier ou rectifier ces données. À cet égard, je rappelle que la Cour a déjà eu l’occasion de rejeter une argumentation ayant une teneur analogue dans l’arrêt État belge, s’agissant de la publication, au Journal officiel d’un État membre, d’actes et documents préparés par des tiers, puis déposés auprès d’une autorité judiciaire et transmis à l’organisme chargé de ce Journal en vue de leur divulgation. Au point 38 de cet arrêt, la Cour a, d’une part, observé que la publication de ces actes et documents sans possibilité de contrôle ni de modification de leur contenu était intrinsèquement liée au rôle d’un Journal officiel, qui se limite à informer le public de leur existence conformément au droit national applicable, de manière à les rendre opposables aux tiers. D’autre part, elle a précisé qu’il serait contraire à l’objectif de l’article 4, point 7, du RGPD, qui consiste à assurer une protection efficace et complète des personnes physiques à l’égard du traitement de leurs données à caractère personnel, d’exclure de la notion de « responsable du traitement » le Journal officiel d’un État membre au motif que ce dernier n’exerce pas de contrôle sur de telles données. Des considérations analogues s’appliquent, mutatis mutandis, à la publication d’actes et documents effectuée dans les registres des sociétés des États membres. En effet, comme c’était le cas pour le Moniteur belge dans l’arrêt susmentionné, s’il est vrai que l’agence doit publier l’acte concerné tel quel, c’est elle seule qui assume cette tâche et procède à sa diffusion (20).
36. Se pose à ce stade la question de savoir si l’agence doit être considérée comme seule responsable du traitement des données litigieuses, et, dès lors, du respect des principes visés à l’article 5, paragraphe 1, du RGPD, ou si elle partage cette responsabilité avec le demandeur, agissant pour le compte de la société, en raison du fait que celui-ci n’a pas procédé à l’envoi à l’agence d’une copie du contrat de société de 2020 expurgée desdites données.
37. À cet égard, je rappelle, d’emblée, que l’article 26, paragraphe 1, du RGPD prévoit que deux personnes ou plus peuvent assumer la responsabilité conjointe du traitement et que leurs obligations respectives peuvent être déterminées par accord entre elles ou être fixées par le droit de l’Union ou le droit de l’État auquel elles sont soumises (21). À cet égard, la Cour a précisé que la qualification de « responsables conjoints du traitement » découle du fait que plusieurs entités ont participé à la détermination des finalités et des moyens du traitement (22). En l’absence d’une telle participation, une responsabilité conjointe du traitement est en revanche exclue et les différents acteurs doivent être considérés comme des responsables du traitement indépendants et successifs. Comme le CEPD l’a indiqué, l’échange des mêmes données ou ensembles de données entre deux entités sans qu’elles déterminent conjointement les finalités ou les moyens du traitement devrait être considéré comme une communication de données entre responsables de traitement distincts (23).
38. Ainsi, le seul fait que l’agence soit en même temps « responsable du traitement » au titre de l’article 4, point 7, du RGDP et « destinataire » au sens du point 9 de cet article, au motif qu’elle reçoit une communication des données à caractère personnel contenues dans les actes et les documents qui accompagnent la demande d’inscription au registre du commerce ne permet pas d’exclure qu’elle assume seule la responsabilité de la mise à la disposition du public de ces données. En effet, une telle mise à la disposition du public, tout comme la transformation numérique, lorsqu’elle a lieu, des données qui figurent dans les actes qui lui sont soumis ainsi que leur conservation constituent un traitement distinct et ultérieur par rapport à la transmission des données effectuée, aux fins de l’enregistrement de la société, par le demandeur. Or, l’agence procède seule à l’ensemble de ces traitements, dans le cadre de la mission d’ordre public dont elle est chargée et conformément aux finalités et aux modalités qui sont fixées par la législation bulgare (24).
39. Certes, d’une part, la Cour a précisé, dans l’arrêt État belge (25), qu’il suffit qu’une personne influe, à des fins qui lui sont propres, sur le traitement de données à caractère personnel et participe de ce fait à la détermination des finalités et des moyens de ce traitement pour pouvoir être conjointement tenue pour responsable du traitement (26). Cependant, en l’occurrence, il ressort du dossier dont dispose la Cour que les finalités et les moyens du traitement des données figurant dans les documents devant être mis à la disposition du public par le biais du registre du commerce sont déterminés uniquement par la loi. Les sujets qui, pour le compte de la société, chargent les documents et les informations dont la publicité est requise par la loi dans la base de données de ce registre (27) n’exercent aucune influence sur cette détermination et ne sauraient, dès lors, être tenus pour responsables – pas plus que la société elle-même – des traitements ultérieurs des données qu’ils communiquent à l’agence, y compris la divulgation de ces données par le biais de la base de données électronique du registre. En outre, en transmettant à l’agence les actes soumis à publicité et en traitant les données qu’ils contiennent, ces sujets poursuivent des finalités qui leur sont propres, à savoir remplir les formalités nécessaires à l’enregistrement de la société, qui diffèrent des finalités publiques assignées au registre et poursuivies par l’agence lorsqu’elle assure la mise à la disposition du public de tels actes (28).
40. D’autre part, dans l’arrêt État belge, la Cour a reconnu que, dans le cadre d’une chaîne de traitements opérés par différentes personnes ou entités et portant sur les mêmes données à caractère personnel, le droit national peut déterminer les finalités et les moyens de l’ensemble des traitements opérés successivement par ces différentes personnes ou entités de manière que celles-ci soient conjointement tenues pour responsables du traitement (29). Ainsi, en vertu des dispositions combinées de l’article 26, paragraphe 1, et de l’article 4, point 7, du RGPD, la responsabilité conjointe de plusieurs acteurs d’une chaîne de traitements portant sur les mêmes données à caractère personnel peut être établie par le droit national pour autant que les différentes opérations de traitement soient unies par des finalités et des moyens déterminés par ce droit et que celui-ci définisse, de manière directe ou indirecte, les obligations respectives de chacun des responsables conjoints du traitement (30). Or, ceci n’est, à mon sens, pas le cas de l’article 13, paragraphes 6 et 9, de la loi relative aux registres, qui se borne à définir dans quelles conditions, selon la législation bulgare, un consentement à la publication dans le registre du commerce de données personnelles non soumises à publicité a été valablement donné par la personne concernée. En effet, cette disposition n’a pas pour objet d’établir une responsabilité conjointe du demandeur pour le traitement ultérieur de ces données, mais plutôt de préciser le fondement de la licéité du traitement effectué par l’agence. Par ailleurs, ainsi que je l’ai déjà souligné, les finalités privées poursuivies par la société diffèrent des finalités publiques poursuivies par l’agence, de sorte que les conditions requises par l’arrêt État belge pour que leur responsabilité conjointe, en tant qu’acteurs d’une « chaîne de traitements portant sur les mêmes données à caractère personnel », puisse être considérée comme étant établie par le droit bulgare ne sont à mon sens pas réunies.
41. Sur la base de l’ensemble des considérations qui précèdent, je suis d’avis que l’article 4, point 7, et l’article 26, paragraphe 1, du RGPD doivent être interprétés en ce sens que l’autorité chargée de la tenue du registre du commerce d’un État membre qui, en vertu de la législation de cet État, doit assurer la publicité des actes qui lui sont transmis dans le cadre d’une demande d’inscription d’une société à ce registre est seule responsable de la mise à la disposition du public des données à caractère personnel contenues dans ces actes, même lorsqu’il s’agit de données dont la publication n’est pas requise et qui, conformément à cette législation, auraient dû être expurgées de ceux-ci préalablement à leur transmission à ladite autorité.
5. Sur le fondement de la licéité du traitement
42. Tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, du RGPD et satisfaire aux conditions énumérées à l’article 6 de ce règlement (31), qui prévoit une liste exhaustive et limitative des cas dans lesquels un tel traitement peut être considéré comme licite (32). Aux termes de l’article 6, paragraphe 1, premier alinéa, sous a), du RGPD, le traitement de données à caractère personnel est licite si, et dans la mesure où, la personne concernée y a consenti pour une ou plusieurs finalités spécifiques. En l’absence d’un tel consentement, ou lorsque ce consentement n’a pas été donné de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair, au sens de l’article 4, point 11, du RGPD, un tel traitement est néanmoins justifié lorsqu’il répond à l’une des exigences de nécessité mentionnées à l’article 6, paragraphe 1, premier alinéa, sous b) à f), de ce règlement, qui doivent faire l’objet d’une interprétation restrictive (33).
43. En l’occurrence, la présomption de consentement établie par l’article 13, paragraphe 9, de la loi relative aux registres ne satisfait manifestement pas aux conditions requises par l’article 6, paragraphe 1, premier alinéa, sous a), du RGPD, lu en combinaison avec l’article 4, point 11, de ce règlement (34). Il y a, dès lors, lieu de vérifier si un traitement de données tel que celui en cause dans la procédure au principal répond à l’une des autres justifications énoncées à l’article 6, paragraphe 1, premier alinéa, dudit règlement.
44. Il ressort de l’arrêt Manni que le traitement de données à caractère personnel effectué par l’autorité chargée de la tenue du registre dans la mise en œuvre des actes de l’Union qui coordonnent les dispositions nationales en matière de publicité des actes des sociétés répond notamment aux motifs de licéité prévus à l’article 6, paragraphe 1, premier alinéa, sous c) et e), du RGPD, relatifs, le premier, au respect d’une obligation légale à laquelle le responsable du traitement est soumis et, le second, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. C’est donc par rapport à ces deux motifs que je conduirai mon analyse.
45. En ce qui concerne, en premier lieu, le motif prévu par l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, il convient, tout d’abord, d’examiner si la mise à la disposition du public dans le registre du commerce des données personnelles en cause dans la procédure au principal, qui ne comptent pas parmi les informations soumises à publicité en vertu de la directive 2017/1132 ou du droit bulgare, était justifiée par l’exigence d’assurer la publicité des actes visés par l’article 14 de cette directive et était, dès lors, nécessaire au respect d’une obligation légale découlant du droit de l’Union.
46. Conformément à l’article 16, paragraphe 3, de ladite directive, les États membres veillent à ce que ces actes soient rendus accessibles au public dans le registre mentionné au paragraphe 1, premier alinéa, de cet article. Les gouvernements allemand, irlandais et polonais considèrent en substance que, en vertu dudit article, lu en combinaison avec l’article 14 susmentionné, les autorités chargées de la tenue du registre doivent publier lesdits actes tels qu’elles les reçoivent. Elles seraient, dès lors, dans l’obligation de traiter toutes les données à caractère personnel qu’ils contiennent, y compris celles non requises en vertu du droit de l’Union ou du droit national applicable.
47. Je ne partage pas cette interprétation. La directive 2017/1132 prévoit en effet que certains actes essentiels des sociétés sont obligatoirement soumis à publicité et que celle-ci s’effectue par le biais du registre, mais elle n’impose pas le traitement systématique de toute donnée à caractère personnel contenu dans lesdits actes, même si ce traitement devait s’avérer contraire aux dispositions du RGPD. Au contraire, ainsi que je l’ai rappelé plus haut, l’article 161 de cette directive, telle que modifiée par la directive 2019/1151, prévoit que le traitement de toute donnée à caractère personnel effectué dans son cadre est soumis audit règlement. Il incombe, dès lors, aux États membres de trouver le juste équilibre entre les objectifs de sécurité juridique et de protection des intérêts des tiers, qui, ainsi qu’on le verra tout à l’heure, sous-tendent les règles en matière de publicité des actes des sociétés, et le droit fondamental au respect des données à caractère personnel.
48. Il y a ensuite lieu de vérifier si la publication dans le registre du commerce des données en cause dans la procédure au principal était nécessaire au respect d’une obligation légale prévue par le droit bulgare. À cet égard, je rappelle que l’article 2, paragraphe 2, de la loi relative aux registres prévoit que les actes devant figurer dans le registre du commerce « sont mis à la disposition du public exempts des informations constituant des données à caractère personnel au sens de l’article 4, point 1, du [RGPD], à l’exception des informations qui doivent être mises à la disposition du public en vertu de la loi ». La licéité du traitement de données en cause dans la procédure au principal n’apparaît dès lors pas pouvoir reposer sur une « obligation légale » au sens de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, à laquelle l’agence aurait été soumise en vertu du droit bulgare, ce que la présomption de consentement introduite par l’article 13, paragraphe 9, de la loi relative aux registres semble d’ailleurs confirmer. Il appartient néanmoins à la juridiction de renvoi, seule compétente pour interpréter le droit national, de se prononcer sur ce point. Je me borne ici à préciser que le seul fait, invoqué par l’agence, que, à défaut de copie occultant les données personnelles non requises par la loi, elle doit procéder à la publication de l’acte tel qu’il lui a été transmis ne suffit pas, à mon sens, à caractériser une « obligation légale » au sens de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, étant donné qu’une telle publication est a priori exclue par la loi et qu’elle n’est effectuée par l’agence que sur la base d’un consentement présumé (35). À cet égard, il importe de souligner qu’il incombe au responsable du traitement de s’assurer du caractère « licite » du traitement des données qu’il effectue à l’égard des conditions énoncées à l’article 6, paragraphe 1, premier alinéa, sous a) à f), de ce règlement (36).
49. En ce qui concerne, en second lieu, le motif inscrit à l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD, auquel se réfèrent tant la juridiction de renvoi que la plupart des États membres ayant présenté des observations dans la présente procédure, je rappelle que la Cour a déjà eu l’occasion de juger que l’activité d’une autorité publique consistant à sauvegarder, dans une base de données, des données que les sociétés sont tenues de communiquer sur la base d’obligations légales, à permettre aux personnes intéressées de consulter ces données et à leur fournir des copies de celles-ci relève de l’exercice de prérogatives de puissance publique (37) et constitue une mission d’intérêt public au sens de cette disposition (38). Ainsi que l’avocat général Bot l’a affirmé dans ses conclusions dans l’affaire ayant donné lieu à l’arrêt Manni, l’inscription et la publication dans les registres du commerce et des sociétés des informations essentielles relatives aux sociétés visent à créer une source d’information fiable et ainsi à assurer la sécurité juridique qui est nécessaire pour la protection des intérêts des tiers, notamment ceux des créanciers, la loyauté des transactions commerciales et, partant, le bon fonctionnement du marché (39). Par ailleurs, ainsi qu’il a été souligné par la Cour, le stockage dans ces registres de l’ensemble des données pertinentes et leur accessibilité par les tiers contribuent à favoriser les échanges entre États membres, également dans une perspective de développement du marché intérieur (40).
50. En l’occurrence, se pose la question de savoir si ces objectifs et le motif de licéité prévu à l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD peuvent être invoqués à l’égard de la mise à la disposition du public, par l’agence, des données à caractère personnel en cause dans la procédure au principal, qui ne comptent pas parmi celles qui, en vertu du droit de l’Union ou du droit bulgare, sont soumises à publicité obligatoire.
51. À cet égard, je rappelle que l’article 6, paragraphe 3, du RGPD, lu en combinaison avec le considérant 45 de celui-ci, précise, en ce qui concerne notamment l’hypothèse de licéité visée au paragraphe 1, premier alinéa, sous e), de cet article, que le traitement doit être fondé sur le droit de l’Union ou sur le droit de l’État membre auquel le responsable du traitement est soumis et que cette base juridique doit répondre à un objectif d’intérêt public et être proportionnée à l’objectif légitime poursuivi (41). Or, aucune de ces exigences – dont la Cour a précisé qu’elles constituent une expression de celles découlant de l’article 52, paragraphe 1, de la Charte (42) – n’apparaît satisfaite dans le cadre de la présente affaire qui concerne un traitement de données à caractère personnel qui, bien que réalisé à l’occasion de l’exercice d’une mission d’intérêt public au sens de l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD, n’est pas considéré comme a priori nécessaire à l’exécution de celle-ci en vertu de la législation nationale applicable, ni à la poursuite des finalités assignées au registre du commerce, et qui n’est autorisé que sur la base d’un consentement présumé de la personne concernée.
52. Plus généralement, il convient de souligner que la publication de données à caractère personnel non requises par le droit de l’Union ou par le droit de l’État membre concerné ne sert aucun des objectifs énoncés au point 49 des présentes conclusions (43), qui seuls justifient l’ingérence dans les droits des personnes concernées au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte (44). Par ailleurs, ainsi que la Cour l’a souligné dans l’arrêt Manni, c’est notamment en raison du fait que, en principe, la publicité n’est prévue que pour un nombre limité de données à caractère personnel – à savoir celles qui portent sur l’identité et les fonctions respectives des personnes ayant le pouvoir d’engager la société et sont, dès lors, nécessaires aux fins de protéger les intérêts des tiers – qu’une telle ingérence n’est pas considérée comme disproportionnée (45).
53. Le gouvernement bulgare et l’agence soutiennent en substance que le traitement en cause dans la procédure au principal trouve son fondement, en droit bulgare, dans l’exigence d’assurer la publicité des actes essentiels des sociétés, de préserver leur intégrité et fiabilité et de ne pas entraver l’exercice par l’agence de sa mission d’intérêt public. À supposer que la juridiction de renvoi parvienne à la même conclusion, il lui incomberait encore de s’assurer du respect du principe de proportionnalité. En vertu de ce principe, des limitations au droit fondamental au respect des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire (46), ce qui n’est pas le cas lorsque l’objectif d’intérêt général visé peut raisonnablement être atteint de manière aussi efficace par d’autres moyens, moins attentatoires à ce droit (47). Il convient également de rappeler que l’article 5, paragraphe 1, sous c), du RGPD prévoit que les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont traitées et exige le respect, par les États membres, du principe de la « minimisation des données », lequel donne expression au principe de proportionnalité (48).
54. Or, il me semble que l’objectif d’assurer la publicité des actes essentiels des sociétés peut être raisonnablement atteint en mettant en place des procédures permettant d’occulter, préalablement à leur publication, les données personnelles dont la mise à la disposition du public n’est pas requise. Ces procédures peuvent inclure notamment l’obligation, pour l’agence, de suspendre l’inscription de la société afin de permettre la modification des actes contenant de telles données ou de procéder, le cas échéant d’office, à l’effacement de celles-ci.
55. Les arguments avancés par bon nombre d’États membres ayant présenté des observations dans la présente procédure, selon lesquels la mise en place de telles procédures risquerait de retarder le traitement des demandes d’inscription au registre des sociétés, au détriment notamment des intérêts des associés, ou de mettre à la charge des autorités nationales des tâches excessivement lourdes, ne me semblent pas pouvoir prospérer. En effet, d’une part, ces procédures sont nécessaires afin de concilier les intérêts poursuivis par la publicité des actes des sociétés avec le droit fondamental au respect des données à caractère personnel, tout particulièrement lorsque, comme je l’ai souligné au point 16 des présentes conclusions, les données personnelles en cause sont destinées à être mises à la disposition du public sans restriction dans un environnement digitalisé. D’autre part, elles pourraient se prévaloir d’outils de recherche et d’identification des données permettant de faciliter la tâche de ces autorités et être conçues de manière à mettre dans un premier temps à la charge des demandeurs la tâche d’occulter les données personnelles qui ne doivent pas être divulguées, ainsi que le prévoit du reste le droit bulgare.
56. Quant à l’exigence de préserver l’intégrité et la fiabilité des actes des sociétés soumis à publicité obligatoire transmis aux fins de l’inscription au registre des sociétés – également mentionnée par le gouvernement bulgare et par l’agence, ainsi que par la plupart des États membres ayant présenté des observations dans la présente procédure – qui commanderait la publication de ces actes tels qu’ils ont été transmis aux autorités chargées de la tenue du registre, elle ne saurait à mon sens prévaloir de manière systématique sur le droit fondamental à la protection des données à caractère personnel, sous peine de rendre cette protection purement illusoire.
57. J’ai, en effet, tendance à penser que cette exigence ne saurait tout au plus justifier que la conservation des données à caractère personnel non soumises à publicité obligatoire contenues dans de tels actes, mais non leur publication, sans aucune limitation ni restriction, dans la base de données du registre ouverte au public. Plus précisément, j’estime que la mise à la disposition du public de la copie de ces actes expurgée des données personnelles non requises et la conservation de l’original dans le dossier permettraient de ménager un juste équilibre entre cette exigence et la protection des données des personnes concernées. L’accès éventuel à l’original de l’acte et à l’ensemble des données qu’il contient ne serait alors permis qu’au cas par cas, en présence d’un intérêt légitime le justifiant – y compris celui de la vérification du caractère authentique de l’acte – et dans le respect des dispositions du RGPD.
58. À cet égard, contrairement à ce que soutient, notamment, le gouvernement irlandais, je suis d’avis que l’article 16 bis de la directive 2017/1132, telle que modifiée par la directive 2019/1151, en ce qu’il prévoit que « [l]es États membres veillent à ce que des copies de tout ou partie des actes [...] visés à l’article 14 puissent être obtenues auprès du registre », n’implique pas que les États membres soient obligés de permettre un accès sans restriction à l’intégralité de ces actes. En revanche, comme je l’ai déjà observé, l’article 161 de la directive 2017/1132, telle que modifiée par la directive 2019/1151, oblige les États membres à mettre en place des procédures permettant de garantir que, dans l’exercice de la mission d’intérêt public qui leur est confiée, les autorités chargées de la tenue du registre des sociétés respectent l’ensemble des dispositions du RGPD.
59. Sur la base de l’ensemble des considérations qui précèdent, je suis d’avis que le traitement de données en cause dans la procédure au principal ne saurait être considéré comme fondé sur le consentement de la défenderesse au principal, au sens de l’article 6, paragraphe 1, premier alinéa, sous a), du RGPD, lu en combinaison avec l’article 4, point 11, de ce règlement. Sous réserve des vérifications à effectuer par la juridiction de renvoi, ce traitement ne semble pas satisfaire non plus aux conditions de licéité prévues par l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD, ni à celles énoncées au point e) de cet article, lu en combinaison avec l’article 6, paragraphe 3, de ce règlement. Dans un souci d’exhaustivité, j’ajouterai que ledit traitement n’est pas non plus susceptible de relever du champ d’application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, relatif aux traitements de données à caractère personnel nécessaires aux fins des intérêts légitimes poursuivis par le responsable du traitement. En effet, ainsi que cela a été précisé par la Cour, il ressort clairement du libellé de l’article 6, paragraphe 1, second alinéa, du RGPD qu’un traitement de données à caractère personnel effectué par une autorité publique dans le cadre de l’exécution de ses missions ne peut pas relever du champ d’application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, de sorte que l’application de cette disposition et celle de l’article 6, paragraphe 1, premier alinéa, sous e), de ce règlement sont exclusives l’une de l’autre (49). Or, en l’occurrence, le traitement de données à caractère personnel en cause dans la procédure au principal est réalisé par l’agence à l’occasion de l’exercice de la mission d’intérêt public qui lui est confiée, ce qui exclut d’emblée l’application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, indépendamment de la question de savoir s’il répond aux conditions prévues par l’article 6, paragraphe 3, du RGPD.
60. Il n’est dès lors pas exclu que la juridiction de renvoi soit amenée à conclure que le traitement de données en cause dans la procédure au principal, faute de satisfaire à l’une des justifications prévues à l’article 6, paragraphe 1, du RGPD, était illicite.
6. Droit à l’effacement
61. L’article 17 du RGPD instaure un droit de la personne concernée à l’effacement des données à caractère personnel la concernant lorsque l’un des motifs énumérés au paragraphe 1 de cet article s’applique et impose, corrélativement, au responsable du traitement l’obligation de procéder à un tel effacement dans les meilleurs délais.
62. L’article 17, paragraphe 3, du RGPD précise toutefois que le paragraphe 1 de cet article ne s’applique pas dans la mesure où le traitement en cause est nécessaire pour l’un des motifs énumérés à cette première disposition. Parmi ces motifs figurent, à l’article 17, paragraphe 3, sous b), de ce règlement, le respect d’une obligation légale qui requiert le traitement, prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
63. Dans la mesure où ces exceptions au droit à l’effacement reflètent les motifs de justification du traitement énoncés à l’article 6, paragraphe 1, premier alinéa, sous c) et e), du RGPD, je renvoie, pour ce qui est de leur invocabilité dans des circonstances telles que celles de la procédure au principal, à l’analyse effectuée aux points 45 à 58 des présentes conclusions (50).
64. Ainsi, dans l’hypothèse où la juridiction de renvoi estimerait que la mise à la disposition du public dans le registre du commerce des données à caractère personnel en cause dans la procédure au principal ne relève pas, en droit bulgare, du champ d’application de l’article 6, paragraphe 1, premier alinéa, sous c) ou e), du RGPD, lus en combinaison avec l’article 6, paragraphe 3, de ce règlement, et, dès lors, de l’article 17, paragraphe 3, sous b), du RGPD, la défenderesse au principal disposerait d’un droit à l’effacement, consistant à ce qu’il soit mis fin à une telle mise à la disposition du public, et l’agence, en tant que responsable du traitement, serait tenue d’y faire droit. En effet, l’article 17, paragraphe 1, sous d), du RGPD prévoit un droit absolu de la personne concernée à ce que ses données à caractère personnel soient effacées lorsqu’elles ont fait l’objet d’un traitement illicite (51).
65. Dans l’hypothèse où la juridiction de renvoi devrait en revanche conclure que le traitement de données en cause dans la procédure au principal était conforme à l’article 6, paragraphe 1, premier alinéa, sous c) ou e), du RGPD, l’article 17, paragraphe 3, sous b), de ce règlement serait a priori applicable. Deux précisions sont cependant nécessaires.
66. D’une part, au cas où la juridiction de renvoi arriverait à la conclusion que la mise à la disposition du public des données personnelles en cause dans la procédure au principal était nécessaire à l’exécution de la mission d’intérêt public confiée à l’agence pour ne pas retarder l’inscription de la société au registre du commerce, cette seule raison ne saurait, à mon sens, être invoquée pour justifier le maintien de ces données dans le registre une fois la société inscrite et, dès lors, pour exclure, au titre de l’article 17, paragraphe 3, sous b), du RGPD, le droit à l’effacement de la défenderesse au principal. Ce droit serait alors assuré par l’article 17, paragraphe 1, sous c), de ce règlement, qui s’applique dans le cas où la personne concernée s’oppose, en vertu de l’article 21, paragraphe 1, dudit règlement, pour des raisons tenant à sa situation particulière, à un traitement de ses données à caractère personnel fondé, notamment, sur l’article 6, paragraphe 1, premier alinéa, sous e), du même règlement et qu’il n’existe pas de « motif légitime impérieux pour le traitement », ce qu’il appartient au responsable du traitement de démontrer (52). Or, pour les mêmes raisons déjà exposées au point 56 des présentes conclusions, j’estime que l’exigence de préserver l’intégrité et la fiabilité des actes sur lesquels se fonde l’inscription de la société au registre ne saurait constituer un tel motif légitime impérieux. En effet, comme je l’ai relevé, il peut être satisfait à cette exigence par le recours à d’autres moyens moins attentatoires au droit fondamental au respect des données à caractère personnel.
67. D’autre part, il ressort de l’arrêt Manni qu’une limitation de l’accès aux seuls tiers justifiant d’un intérêt spécifique peut, au cas par cas, être justifié, pour des raisons prépondérantes et légitimes tenant à la situation particulière des personnes concernées, même s’agissant de données à caractère personnel que la directive 2017/1132 soumet à publicité obligatoire et donc même au cas où la mise à la disposition du public découle d’une obligation légale au sens de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD. Or, une telle limitation devrait a fortiori être reconnue s’agissant de données personnelles qui ne sont soumises à publicité ni au titre du droit de l’Union ni en vertu du droit national. Par ailleurs, dans un tel cas de figure, la condition à laquelle, dans l’arrêt Manni, la Cour a soumis la limitation à l’accès aux informations concernant l’identité du liquidateur de la société, à savoir qu’un délai suffisamment long après la dissolution de la société se soit écoulé, ne serait pas applicable en l’occurrence et la limitation à l’accès à de telles données devrait dès lors être mise en œuvre dans les meilleurs délais.
7. Sur la subordination de l’exercice du droit à l’effacement à des modalités procédurales spécifiques
68. Il ressort de la décision de renvoi que l’agence a subordonné la demande d’OL, visant à l’effacement des données à caractère personnel la concernant dont la publication n’est pas requise par le droit bulgare, au respect de modalités procédurales spécifiques, requérant la présentation d’une copie de l’acte contenant lesdites données dans laquelle celles-ci ont été occultées. À défaut de présentation d’une telle copie, cette demande a été rejetée ou reportée sine die. Selon les explications fournies par l’agence, le respect de ces modalités procédurales serait nécessaire parce qu’elle n’a pas le pouvoir de modifier l’acte en cause, cette modification relevant de la seule compétence des organes de la société.
69. Je rappelle que, conformément à l’article 23, paragraphe 1, du RGPD, le droit de l’Union ou le droit national « peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 [...], lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir » l’un des objectifs qui y sont énumérés. En ce qu’elles aboutissent à une restriction à l’exercice du droit à l’effacement, ainsi qu’à l’exercice du droit à opposition prévu à l’article 21 du RGPD, voire à leur exclusion, au cas où la personne concernée n’arrive pas à obtenir de la société les modifications requises de l’acte en cause, les modalités procédurales appliquées par l’agence sont susceptibles de relever de l’article 23, paragraphe 1, du RGPD (53). Il convient dès lors de vérifier si les conditions prévues par cette disposition sont, en l’occurrence, satisfaites, et ce même si la juridiction de renvoi ne demande pas expressément à la Cour de se prononcer sur ce point.
70. À cet égard, j’observe, tout d’abord, que ces modalités procédurales semblent relever d’une simple pratique interne de l’agence (54). Dès lors, sous réserve des vérifications qu’il incombe à la juridiction de renvoi d’effectuer, elles ne semblent pas, déjà pour cette raison, être conformes à l’article 23, paragraphe 1, du RGPD, qui prévoit que les limitations aux droits énumérés dans cette disposition doivent faire l’objet de « mesures législatives ».
71. Ces modalités procédurales soulèvent ensuite des interrogations quant au respect du principe de proportionnalité.
72. En effet, si l’exigence de garantir la fiabilité et l’authenticité des actes inscrits au registre du commerce et, plus largement, la transparence et la sécurité juridique dans l’exercice de la mission qui lui est confiée me semble susceptible de répondre à un « objectif important d’intérêt public général de l’Union ou d’un État membre », au sens de l’article 23, paragraphe 1, sous e), du RGPD, elle ne justifie pas, à mon sens, la restriction, voire l’exclusion, du droit à l’effacement ou du droit à opposition dans des circonstances telles que celles de la procédure au principal, d’autres moyens moins attentatoires au droit fondamental au respect des données à caractère personnel pouvant être utilisés.
73. Dans ce contexte, la Commission, tout en estimant justifié d’attendre que la société modifie l’acte en expurgeant les données dont l’effacement est demandé, propose que l’agence procède elle-même à l’occultation de ces données après un laps raisonnable de temps, s’il s’avère que la personne concernée n’arrive pas à obtenir de la société qu’elle effectue une telle modification.
74. Je ne suis pas persuadée qu’une telle solution assurerait un juste équilibre entre les différents droits et intérêts en jeu, en ce qu’elle aboutit à maintenir, pour un temps indéfini, à la disposition du public, dans un environnement digitalisé, des données qui n’avaient pas vocation à être divulguées. À mes yeux, un tel équilibre pourrait, en revanche, être garanti en reconnaissant à l’agence le pouvoir de procéder elle-même, dans les meilleurs délais après réception de la demande d’effacement, à l’occultation des données en cause dans la copie de l’acte mise à la disposition du public, tout en conservant dans le dossier l’original de cet acte et en exigeant de la société qu’elle soumette une modification de celui-ci, dans laquelle lesdites données seraient expurgées, modification qui serait elle aussi publiée au registre.
75. Certes, l’article 16, paragraphe 4, premier et deuxième alinéas, de la directive 2017/1132 prévoit que les États membres prennent les mesures nécessaires pour éviter toute discordance entre la teneur du registre et celle du dossier et entre ce qui est publié au registre et ce qui est publié au bulletin national. Toutefois, l’exigence de maintenir la cohérence entre les différentes parties du registre et avec le bulletin national ainsi que l’objectif de sécurité juridique qu’une telle exigence sous-tend ne sauraient, à mon sens, justifier le fait de maintenir à la disposition du public, sans restrictions et sans limites temporelles, dans des actes publiés au registre, des données personnelles dont la divulgation n’est pas obligatoire, lorsque la personne concernée en demande l’effacement. En effet, premièrement, les modifications de ces actes qui s’avèrent nécessaires à l’occultation de ces données seraient identifiables et traçables et interviendraient de manière transparente. Deuxièmement, ces modifications porteraient sur des éléments de tels actes dont la publicité n’est pas nécessaire à l’exécution de la mission d’intérêt public confiée au registre. Troisièmement, l’intégrité et l’authenticité desdits actes pourraient être préservées en conservant dans le dossier l’original de ceux-ci, auquel les tiers qui justifient d’un intérêt légitime auraient un accès réglementé.
76. Sur la base de tout ce qui précède, je suis d’avis que des modalités procédurales telles que celles appliquées en l’occurrence par l’agence ne sont pas conformes à l’article 23, paragraphe 1, du RGPD.
V. Conclusion
77. À la lumière de l’ensemble des considérations qui précèdent, je suggère à la Cour de répondre comme suit à la quatrième et à la cinquième question préjudicielle posées par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie) :
1) L’article 4, point 7, et l’article 26, paragraphe 1, du règlement (UE) 2016/679, du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
doivent être interprétés en ce sens que :
l’autorité chargée de la tenue du registre du commerce d’un État membre, qui, en vertu de la législation de cet État, doit assurer la publicité des actes qui lui sont transmis dans le cadre d’une demande d’inscription d’une société à ce registre, est seule responsable de la mise à la disposition du public des données à caractère personnel contenues dans ces actes, même lorsqu’il s’agit de données dont la publication n’est pas requise et qui, conformément à cette législation, auraient dû être expurgées de ceux-ci préalablement à leur transmission à ladite autorité.
2) Le règlement 2016/679, notamment son article 17 et son article 23, paragraphe 1,
doit être interprété en ce sens que :
il s’oppose à une législation ou à une pratique nationale qui subordonne le droit d’une personne physique d’obtenir, de l’autorité chargée de la tenue du registre du commerce d’un État membre, l’effacement de données à caractère personnel la concernant, contenues dans des actes mis à la disposition du public dans ce registre, à des modalités procédurales requérant la présentation d’une copie de l’acte en cause dans laquelle ces données ont été expurgées. En sa qualité de responsable du traitement, cette autorité ne saurait être exonérée de son obligation de faire droit à une telle demande d’effacement dans les meilleurs délais au seul motif qu’elle n’a pas reçu communication d’une telle copie.
3) La directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés, telle que modifiée par la directive (UE) 2019/1151 du Parlement européen et du Conseil, du 20 juin 2019, notamment son article 16, paragraphes 2 à 4, lu à la lumière du considérant 8 de cette directive,
ne saurait être interprétée en ce sens que :
elle permet l’adoption de telles modalités procédurales. Cette directive ne s’oppose pas à ce que l’autorité chargée de la tenue du registre du commerce d’un État membre fasse droit à une demande d’effacement de données à caractère personnel non requises par la législation de cet État membre, contenues dans un acte mis à la disposition du public dans ce registre, en expurgeant elle-même lesdites données de cet acte et en gardant copie de la version non expurgée de celui-ci dans le dossier visé à l’article 16, paragraphe 1, de ladite directive.
1 Langue originale : le français.
2 Plus précisément, la demande de décision préjudicielle porte sur les dispositions de la directive 2009/101/CE du Parlement européen et du Conseil, du 16 septembre 2009, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 48, deuxième alinéa, du traité, pour protéger les intérêts tant des associés que des tiers (JO 2009, L 258, p. 11). Cependant, ainsi que l’on verra plus loin, c’est la directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés (JO 2017, L 169, p. 46) qui s’applique ratione temporis aux faits de la procédure au principal.
3 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
4 DV no 34, du 25 avril 2006.
5 DV no 48, du 18 juin 1991.
6 Il s’agit de l’avis no 01‑116(20)/01.02.2021.
7 Directive du Parlement européen et du Conseil du 20 juin 2019 modifiant la directive 2017/1132 (JO 2019, L 186, p. 80).
8 Voir article 2, paragraphe 1, de la directive 2019/1151. S’agissant des modifications apportées par l’article 1er, point 6, de cette directive, en ce qui concerne l’article 16, paragraphe 6, de la directive 2017/1132, la date limite pour la transposition était le 1er août 2023.
9 Voir, en ce sens, mes conclusions dans l’affaire État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2023:468, point 80).
10 Je relève que la Commission a adopté, le 29 mars 2023, une proposition de directive du Parlement européen et du Conseil, modifiant les directives 2009/102/CE et (UE) 2017/1132 en ce qui concerne l’extension et l’amélioration de l’utilisation des outils et processus numériques dans le domaine du droit des sociétés (COM/2023/177 final).
11 Voir système d’interconnexion des registres professionnels, mis en place depuis le 8 juin 2017 par la directive 2012/17/UE du Parlement européen et du Conseil, du 13 juin 2012, modifiant la directive 89/666/CEE du Conseil et les directives 2005/56/CE et 2009/101/CE du Parlement européen et du Conseil en ce qui concerne l’interconnexion des registres centraux, du commerce et des sociétés (JO 2012, L 156, p. 1), et régi actuellement par la directive 2017/1132. Ce système connecte les registres professionnels nationaux à une plate-forme centrale européenne et fournit un point d’accès unique par le biais du portail européen e-Justice, à travers lequel des citoyens, des entreprises et des administrations publiques peuvent rechercher des informations sur des entreprises et leurs succursales ouvertes dans d’autres États membres.
12 Dans son avis sur la proposition de modification de la directive 2017/1132, le Contrôleur européen de la protection des données (CEPD) a attiré l’attention sur la nécessité de « prendre conscience des risques découlant de l’accessibilité des données à caractère personnel qui seraient rendues largement accessibles sur l’internet sous forme numérique, dans des langages multiples, à l’aide d’un point d’accès/d’une plate-forme européenne facilement accessible » (avis du 26 juillet 2018, accessible à l’adresse https://edps.europa.eu/data-protection/our-work/publications/opinions/digital-tools-and-processed-company-law_fr).
13 L’OOD est visée par l’annexe II de la directive 2017/1132, ainsi que par l’annexe II bis de cette directive, telle que modifiée par la directive 2019/1151.
14 Dans ce cas, l’objet des transcriptions dans le registre est consigné dans le dossier ; voir article 16, paragraphe 2, de la directive 2017/1132.
15 Voir article 16, paragraphe 3 de la directive 2017/1132, qui ne prévoit la possibilité de publier les actes visés à l’article 14 de celle-ci par extrait qu’au journal officiel de l’État membre concerné.
16 Voir, s’agissant de la première directive 68/151/CEE du Conseil, du 9 mars 1968, tendant à coordonner, pour les rendre équivalentes, les garanties qui sont exigées, dans les États membres, des sociétés au sens de l’article 58 deuxième alinéa du traité, pour protéger les intérêts tant des associés que des tiers (JO 1968, L 65, p. 8), arrêt du 9 mars 2017, Manni (C‑398/15, ci-après l’« arrêt Manni », EU:C:2017:197, point 34).
17 Arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, points 28 et 29).
18 Voir, en ce sens, arrêt du 5 octobre 2023, Ministerstvo zdravotnictví (Application mobile Covid-19) (C‑659/22, EU:C:2023:745, point 28).
19 C‑231/22, ci-après l’« arrêt État belge », EU:C:2024:7, point 35. Voir également mes conclusions dans l’affaire ayant donné lieu à cet arrêt (C‑231/22, EU:C:2023:468, points 34 à 75).
20 Voir, en ce sens, arrêt État belge, point 38.
21 Voir, en ce sens, arrêt État belge, points 46 et 47.
22 Voir, en ce sens, arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C‑683/21, EU:C:2023:949, points 44 et 45).
23 Voir en ce sens « Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD » du CEPD, version 2.0 adoptée le 7 juillet 2021, disponibles en français à l’adresse Internet https://edpb.europa.eu/system/files/2022‑02/eppb_guidelines_202007_controllerprocessor_final_fr.pdf), points 70 et 72. Voir également mes conclusions dans l’affaire État belge (Données traitées par un journal officiel) (C‑231/22, EU:C:2023:468, point 48 et note de bas de page 55).
24 Voir, en ce sens, arrêt État belge, point 42.
25 Voir arrêt État belge, point 48.
26 Je rappelle cependant que dans l’affaire ayant donné lieu à l’arrêt État belge, il s’agissait de la publication de documents au Journal officiel d’un État membre, constituant la dernière étape d’un processus de traitement qui impliquait différentes autorités publiques. La situation factuelle à l’origine de cet arrêt était dès lors différente de celle en cause dans la présente affaire.
27 Dans ses observations, l’agence explique que, en cas de demande en ligne, le demandeur procède au téléchargement dans le système du registre de commerce des images électroniques des documents signés sur papier nécessaires à l’inscription.
28 Ces finalités sont mentionnées au point 49 des présentes conclusions.
29 Voir arrêt État belge, point 45.
30 Voir arrêt État belge, points 49 et 50.
31 Voir arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, point 76 et jurisprudence citée).
32 Voir arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, points 72 et 73 et jurisprudence citée).
33 Voir arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social) (C‑252/21, EU:C:2023:537, points 91 à 93).
34 Je rappelle que la juridiction de renvoi s’interroge sur une telle compatibilité dans le cadre de sa troisième question préjudicielle.
35 Ainsi que le souligne le groupe de travail « Article 29 » dans son avis 6/2014, le champ d’application de l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD est « strictement délimité ». Pour que cette disposition puisse s’appliquer, l’obligation légale doit être suffisamment claire et conforme au droit applicable en matière de protection des données. Tel ne me semble pas être le cas d’une loi qui, d’une part, exclut le traitement de données en cause et, d’autre part, l’autorise, voire l’impose, sur la base d’un consentement présumé.
36 Voir arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire) (C‑60/22, EU:C:2023:373, points 54 et 55).
37 Voir arrêt du 12 juillet 2012, Compass-Datenbank (C‑138/11, EU:C:2012:449, points 40 et 41), et arrêt Manni, point 43.
38 Voir arrêt Manni, point 43.
39 C‑398/15, EU:C:2016:652, point 54.
40 Voir, en ce sens, arrêt du 12 novembre 1974, Haaga (32/74, EU:C:1974:116, point 6), et arrêt Manni, point 50.
41 Voir, en ce sens, arrêt du 2 mars 2023, Norra Stockholm Bygg (C‑268/21, EU:C:2023:145, point 31).
42 Voir, en ce sens, arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 69).
43 En particulier, le domicile du représentant de la société ou des associés ne relève pas de son identité et sa connaissance n’est pas, comme souligné par l’avocat général Szpunar dans ses conclusions dans l’affaire All in One Star (C‑469/19, EU:C:2020:822, point 51), utile à la protection des tiers.
44 Voir arrêt Manni, point 57.
45 Voir arrêt Manni, point 58.
46 Voir arrêt du 1er août 2022, Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2022:601, point 70).
47 Voir, en ce sens, arrêt du 22 novembre 2022, Luxembourg Business Registers (C‑37/20 et C‑601/20, EU:C:2022:912, point 66).
48 Voir, par analogie, arrêt du 30 janvier 2024, Direktor na Glavna direktsia „Natsionalna politsia“ pri MVR – Sofia (C‑118/22, EU:C:2024:97, point 41).
49 Voir arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C‑180/21, EU:C:2022:967, point 85).
50 Si, dans un obiter dictum contenu au point 51 de l’arrêt État belge, la Cour a évoqué la possibilité que les exceptions visées à l’article 17, paragraphe 3, sous b) et d), du RGPD s’appliquent à la demande d’effacement de données à caractère personnel publiées dans le Journal officiel de l’État membre concerné, elle ne s’est cependant pas prononcée sur cette question, qui n’avait pas été soulevée par la juridiction de renvoi dans l’affaire ayant donné lieu à cet arrêt.
51 Voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, point 108) ; voir également conclusions de l’avocat général Pikamäe dans cette affaire (C‑26/22 et C‑64/22, EU:C:2023:222, point 91).
52 Voir, en ce sens, arrêt du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) (C‑26/22 et C‑64/22, EU:C:2023:958, points 111 et 112).
53 Voir, en ce sens, arrêt du 26 octobre 2023, FT (Copies du dossier médical) (C‑307/22, EU:C:2023:811, points 53 à 69). Voir également conclusions de l’avocat général Emiliou dans cette affaire (C‑307/22, EU:C:2023:315, point 37).
54 Si ladite procédure reflète celle prévue à l’article 13, paragraphe 6, de la loi relative aux registres, cette dernière disposition n’apparaît pas régir le droit à l’effacement ou le droit à l’opposition des personnes concernées.