ARRÊT DE LA COUR (cinquième chambre)
24 février 2022 ( *1 )
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 2 – Champ d’application – Article 4 – Notion de “traitement” – Article 5 – Principes relatifs au traitement – Limitation des finalités – Minimisation des données – Article 6 – Licéité du traitement – Traitement nécessaire à l’exécution d’une mission d’intérêt public dont est investi le responsable du traitement – Traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis – Article 23 – Limitations – Traitement des données à des fins fiscales – Demande de communication d’informations relatives à des annonces de vente de véhicules mises en ligne – Proportionnalité »
Dans l’affaire C‑175/20,
ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie), par décision du 11 mars 2020, parvenue à la Cour le 14 avril 2020, dans la procédure
« SS » SIA
contre
Valsts ieņēmumu dienests,
LA COUR (cinquième chambre),
composée de M. E. Regan, président de chambre, M. K. Lenaerts, président de la Cour, faisant fonction de juge de la cinquième chambre, M. C. Lycourgos, président de la quatrième chambre, MM. I. Jarukaitis et M. Ilešič (rapporteur), juges,
avocat général : M. M. Bobek,
greffier : M. A. Calot Escobar,
vu la procédure écrite,
considérant les observations présentées :
– |
pour « SS » SIA, par M. M. Ruķers, |
– |
pour le gouvernement letton, initialement par Mmes K. Pommere, V. Soņeca et L. Juškeviča, puis par Mme K. Pommere, en qualité d’agents, |
– |
pour le gouvernement belge, par MM. J.-C. Halleux et P. Cottin, en qualité d’agents, assistés de Me C. Molitor, avocat, |
– |
pour le gouvernement hellénique, par Mmes E.-M. Mamouna et O. Patsopoulou, en qualité d’agents, |
– |
pour le gouvernement espagnol, initialement par MM. J. Rodríguez de la Rúa Puig et S. Jiménez García, puis par M. J. Rodríguez de la Rúa Puig, en qualité d’agents, |
– |
pour la Commission européenne, initialement par MM. H. Kranenborg et D. Nardi ainsi que Mme I. Rubene, puis par M. H. Kranenborg et Mme I. Rubene, en qualité d’agents, |
ayant entendu l’avocat général en ses conclusions à l’audience du 2 septembre 2021,
rend le présent
Arrêt
1 |
La demande de décision préjudicielle porte sur l’interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2), notamment de l’article 5, paragraphe 1, de celui-ci. |
2 |
Cette demande a été présentée dans le cadre d’un litige opposant « SS » SIA au Valsts ieņēmumu dienests (administration fiscale, Lettonie) (ci-après l’« administration fiscale lettone ») au sujet d’une demande de communication d’informations relatives à des annonces de vente de véhicules publiées sur le site Internet de SS. |
Le cadre juridique
Le droit de l’Union
Le règlement 2016/679
3 |
Le règlement 2016/679, qui est fondé sur l’article 16 TFUE, est applicable, en vertu de son article 99, paragraphe 2, à partir du 25 mai 2018. |
4 |
Les considérants 1, 4, 10, 19, 26, 31, 39, 41 et 50 de ce règlement énoncent :
[...]
[...]
[...]
[...]
[...]
[...]
[...]
[...]
|
5 |
L’article 2 du règlement 2016/679, intitulé « Champ d’application matériel », dispose : « 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :
[...] » |
6 |
L’article 4 de ce règlement, intitulé « Définitions », est libellé comme suit : « Aux fins du présent règlement, on entend par :
[...]
[...]
[...] » |
7 |
Aux termes de l’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel » : « 1. Les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). » |
8 |
L’article 6 du même règlement, intitulé « Licéité du traitement », prévoit : « 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. 2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. 3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. [...] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. 4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :
|
9 |
Aux termes de l’article 13, paragraphe 3, du règlement 2016/679 : « Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2. » |
10 |
L’article 14 de ce règlement dispose : « 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes : [...]
[...] 5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où : [...]
[...] » |
11 |
Aux termes de l’article 23, paragraphe 1, sous e), dudit règlement : « Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir : [...]
[...] » |
12 |
L’article 25, paragraphe 2, du règlement 2016/679 dispose : « Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. » |
La directive 2016/680
13 |
Les considérants 10 et 11 de la directive 2016/680 énoncent :
|
14 |
L’article 3 de cette directive dispose : « Aux fins de la présente directive, on entend par : [...] 7. “autorité compétente” :
[...] » |
Le droit letton
15 |
En vertu de l’article 15, paragraphe 6, du likums « Par nodokļiem un nodevām » (loi sur les impôts et les taxes, Latvijas Vēstnesis, 1995, no 26), dans sa version applicable au litige au principal (ci-après la « loi sur les impôts et les taxes »), le prestataire de services d’annonces publiées sur Internet est tenu de fournir, à la demande de l’administration fiscale lettone, les informations dont il dispose concernant les contribuables qui ont publié des annonces en ayant recours à ses services. |
Le litige au principal et les questions préjudicielles
16 |
SS est un prestataire de services d’annonces publiées sur Internet établi en Lettonie. |
17 |
Le 28 août 2018, l’administration fiscale lettone a adressé à SS une demande de communication fondée sur l’article 15, paragraphe 6, de la loi sur les impôts et les taxes dans laquelle elle invitait cette société à rétablir l’accès dont disposait cette administration fiscale aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur le portail Internet de ladite société ainsi qu’aux numéros de téléphone des vendeurs et à lui fournir, au plus tard le 3 septembre 2018, des informations sur les annonces publiées au cours de la période comprise entre le 14 juillet et le 31 août 2018 dans la rubrique intitulée « Voiture particulière » de ce portail. |
18 |
Cette demande précisait que ces informations, comprenant le lien vers l’annonce, le texte de celle-ci, la marque, le modèle, le numéro de châssis et le prix du véhicule, ainsi que le numéro de téléphone du vendeur, devaient être soumises par voie électronique, dans un format permettant le filtrage ou la sélection des données. |
19 |
En outre, dans l’hypothèse où l’accès aux informations figurant dans les annonces publiées sur le portail Internet en cause ne pouvait être rétabli, SS était invitée à en indiquer le motif ainsi qu’à fournir, au plus tard le troisième jour de chaque mois, les informations pertinentes relatives aux annonces publiées durant le mois précédent. |
20 |
Estimant que la demande de communication de l’administration fiscale lettone n’était pas conforme aux principes de proportionnalité et de minimisation des données à caractère personnel, consacrés par le règlement 2016/679, SS a introduit une réclamation contre cette demande auprès du directeur général faisant fonction de l’administration fiscale lettone. |
21 |
Par décision du 30 octobre 2018, ce dernier a rejeté cette réclamation en exposant notamment que, dans le cadre du traitement des données à caractère personnel en cause au principal, l’administration fiscale lettone exerçait les pouvoirs qui lui sont conférés par la loi. |
22 |
SS a formé devant l’administratīvā rajona tiesa (tribunal administratif de district, Lettonie) un recours tendant à l’annulation de cette décision. Outre les arguments qu’elle avait exposés dans sa réclamation, elle y faisait valoir que ladite décision n’indiquait pas la finalité spécifique du traitement des données à caractère personnel envisagé par l’administration fiscale lettone, ni la quantité des données nécessaires à celui–ci, en méconnaissance de l’article 5, paragraphe 1, du règlement 2016/679. |
23 |
Par jugement du 21 mai 2019, l’administratīvā rajona tiesa (tribunal administratif de district) a rejeté ce recours en indiquant, en substance, que l’administration fiscale lettone était fondée à demander l’accès à des informations relatives à toute personne et en quantité illimitée, à moins que ces informations ne soient considérées comme incompatibles avec les finalités tenant à la perception de l’impôt. Cette juridiction a, par ailleurs, considéré que les dispositions du règlement 2016/679 n’étaient pas applicables à l’égard de cette administration. |
24 |
SS a interjeté appel de ce jugement devant la juridiction de renvoi en faisant valoir, d’une part, que l’administration fiscale lettone était soumise aux dispositions du règlement 2016/679, et, d’autre part, que, en exigeant mensuellement et sans limitation dans le temps une quantité importante de données à caractère personnel relatives à un nombre illimité d’annonces, sans identifier les contribuables à l’égard desquels un contrôle fiscal serait engagé, cette administration a violé le principe de proportionnalité. |
25 |
La juridiction de renvoi indique que, dans le cadre du litige au principal, il n’est pas contesté que l’exécution de la demande de communication en cause est intrinsèquement liée à un traitement de données à caractère personnel, ni que l’administration fiscale lettone a le droit d’obtenir des informations qui sont à la disposition d’un prestataire de services de placement de publicités sur Internet et sont nécessaires à l’exécution de mesures spécifiques en matière de perception de l’impôt. |
26 |
Le litige au principal porterait sur la quantité et le type d’informations susceptibles d’être demandées par l’administration fiscale lettone, sur le caractère limité ou illimité de celles-ci, ainsi que sur la question de savoir si l’obligation de communication à laquelle est soumise SS doit être limitée dans le temps. |
27 |
En particulier, la juridiction de renvoi estime qu’il lui appartient de déterminer si, dans les circonstances de l’affaire au principal, le traitement des données à caractère personnel est effectué de manière transparente à l’égard des personnes concernées, si les informations spécifiées dans la demande de communication en cause sont demandées à des fins déterminées, explicites et légitimes, et si le traitement des données à caractère personnel n’est effectué que dans la mesure où il est réellement nécessaire à l’exercice des fonctions de l’administration fiscale lettone, au sens de l’article 5, paragraphe 1, du règlement 2016/679. |
28 |
À cette fin, il serait nécessaire de définir les critères permettant d’apprécier si une demande de communication émanant de l’administration fiscale lettone respecte l’essence des libertés et des droits fondamentaux et si la demande de communication en cause au principal peut être considérée comme nécessaire et proportionnée dans une société démocratique afin de garantir des objectifs importants de l’Union et des intérêts publics lettons en matière budgétaire et fiscale. |
29 |
Dans ces conditions, l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
Sur les questions préjudicielles
Sur la première question
30 |
Par sa première question, la juridiction de renvoi demande, en substance, si les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’est soumise aux exigences de ce règlement, en particulier à celles énoncées à l’article 5, paragraphe 1, de celui-ci, la collecte, par l’administration fiscale d’un État membre auprès d’un opérateur économique, d’informations impliquant une quantité importante de données à caractère personnel. |
31 |
Afin de répondre à cette question, il convient de vérifier, en premier lieu, si une telle demande relève du champ d’application matériel du règlement 2016/679, tel qu’il est défini à l’article 2, paragraphe 1, de celui-ci, et, en second lieu, si elle ne figure pas au nombre des traitements de données à caractère personnel que l’article 2, paragraphe 2, de ce règlement exclut de ce champ d’application. |
32 |
En premier lieu, aux termes de son article 2, paragraphe 1, le règlement 2016/679 s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. |
33 |
L’article 4, point 1, du règlement 2016/679 précise qu’il faut entendre par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou à plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le considérant 26 de ce règlement précise, à cet égard, que, afin de déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement. |
34 |
Dans le cadre du litige au principal, il est constant que les informations dont l’administration fiscale lettone sollicite la communication constituent des données à caractère personnel, au sens de l’article 4, point 1, du règlement 2016/679. |
35 |
En vertu de l’article 4, point 2, de ce règlement, la collecte, la consultation, la communication par transmission ainsi que toute forme de mise à disposition de données à caractère personnel constituent des « traitements », au sens dudit règlement. Il ressort du libellé de cette disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large. Cette interprétation est corroborée par le caractère non exhaustif, exprimé par la locution « telles que », des opérations mentionnées à ladite disposition. |
36 |
En l’occurrence, l’administration fiscale lettone requiert de l’opérateur économique concerné qu’il rétablisse l’accès des services de cette administration aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur son portail Internet et qu’il lui fournisse des informations sur les annonces publiées sur ce portail. |
37 |
Une telle demande, par laquelle l’administration fiscale d’un État membre sollicite de la part d’un opérateur économique la communication et la mise à disposition de données à caractère personnel que ce dernier est tenu de fournir et de mettre à la disposition de celle-ci en vertu de la réglementation nationale de cet État membre, entame un processus de « collecte » de ces données, au sens de l’article 4, point 2, du règlement 2016/679. |
38 |
Par ailleurs, la communication et la mise à disposition desdites données à cette administration par l’opérateur économique en cause impliquent un « traitement », au sens de cet article 4, point 2. |
39 |
En second lieu, il convient d’examiner si l’opération par laquelle l’administration fiscale d’un État membre cherche à collecter auprès d’un opérateur économique les données à caractère personnel concernant certains contribuables peut être considérée comme étant exclue du champ d’application du règlement 2016/679 en vertu de l’article 2, paragraphe 2, de celui-ci. |
40 |
À cet égard, il y a lieu de rappeler, d’emblée, que cette disposition prévoit des exceptions au champ d’application de ce règlement, tel que défini à l’article 2, paragraphe 1, de celui-ci, et que ces exceptions doivent recevoir une interprétation stricte (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 84). |
41 |
En particulier, l’article 2, paragraphe 2, sous d), du règlement 2016/679 dispose que ce dernier ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales. |
42 |
Ainsi qu’il résulte du considérant 19 de ce règlement, cette exception est motivée par la circonstance que les traitements, à de telles fins et par les autorités compétentes, de données à caractère personnel sont régis par un acte spécifique de l’Union, à savoir la directive 2016/680, laquelle a été adoptée le même jour que le règlement 2016/679 et qui définit, à son article 3, point 7, ce qu’il convient d’entendre par « autorité compétente », une telle définition devant être appliquée, par analogie, à l’article 2, paragraphe 2, sous d), de ce règlement [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 69]. |
43 |
Il ressort du considérant 10 de la directive 2016/680 que la notion d’« autorité compétente » doit être comprise en lien avec la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, compte tenu des aménagements qui peuvent s’avérer nécessaires, à cet égard, en raison de la nature spécifique de ces domaines. En outre, le considérant 11 de cette directive précise que le règlement 2016/679 s’applique au traitement de données à caractère personnel qui serait effectué par une « autorité compétente », au sens de l’article 3, point 7, de ladite directive, mais à d’autres fins que celles prévues dans celle-ci [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 70]. |
44 |
Ainsi, lorsqu’elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une « autorité compétente », au sens de l’article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du règlement 2016/679. |
45 |
En outre, même s’il n’est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 40). |
46 |
Partant, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du règlement 2016/679 et, par suite, celle-ci doit respecter, notamment, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement. |
47 |
Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’est soumise aux exigences de ce règlement, en particulier à celles énoncées à l’article 5, paragraphe 1, de celui-ci, la collecte, par l’administration fiscale d’un État membre auprès d’un opérateur économique, d’informations impliquant une quantité importante de données à caractère personnel. |
Sur la deuxième question
48 |
Par sa deuxième question, la juridiction de renvoi demande, en substance, si les dispositions du règlement 2016/679 doivent être interprétées en ce sens que l’administration fiscale d’un État membre peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement alors même qu’un tel droit ne lui a pas été octroyé par le droit national de cet État membre. |
49 |
À titre liminaire, il convient de rappeler que, ainsi qu’il ressort de son considérant 10, le règlement 2016/679 vise notamment à assurer un niveau élevé de protection des personnes physiques au sein de l’Union. |
50 |
À cette fin, les chapitres II et III du règlement 2016/679 énoncent, respectivement, les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée que doit respecter tout traitement de données à caractère personnel. En particulier, tout traitement de données à caractère personnel doit, notamment, être conforme aux principes relatifs au traitement de telles données énoncés à l’article 5 dudit règlement (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208). |
51 |
L’article 23 du règlement 2016/679 autorise toutefois l’Union et les États membres à adopter des « mesures législatives » limitant la portée des obligations et des droits prévus, notamment, à l’article 5 de ce règlement pour autant qu’ils correspondent aux droits et aux obligations prévus aux articles 12 à 22 dudit règlement, lorsqu’une telle limitation respecte l’essence des libertés et des droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir d’importants objectifs d’intérêt public général de l’Union ou de l’État membre concerné tel que, notamment, un intérêt économique ou financier important, y compris dans les domaines budgétaire et fiscal. |
52 |
À cet égard, il ressort du considérant 41 du règlement 2016/679 que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée. |
53 |
Cela étant, il convient de rappeler que, ainsi que l’énonce son considérant 4, le règlement 2016/679 respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, parmi lesquels figure, notamment, la protection des données à caractère personnel. |
54 |
Or, conformément à l’article 52, paragraphe 1, première phrase, de la Charte, toute limitation de l’exercice des droits et des libertés reconnus par celle-ci, parmi lesquels figurent, notamment, le droit au respect de la vie privée, garanti par l’article 7 de la Charte, et le droit à la protection des données à caractère personnel, consacré à l’article 8 de celle-ci, doit être prévue par la loi, ce qui implique, en particulier, que la base légale qui permet l’ingérence dans ces droits doit définir elle-même la portée de la limitation de l’exercice du droit concerné (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C‑623/17, EU:C:2020:790, point 65 et jurisprudence citée). |
55 |
À cet égard, la Cour a jugé, en outre, que la réglementation comportant une mesure permettant une telle ingérence doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel ont été transférées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus [voir, en ce sens, arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C‑746/18, EU:C:2021:152, point 48 et jurisprudence citée]. |
56 |
Par conséquent, toute mesure adoptée en vertu de l’article 23 du règlement 2016/679 doit, ainsi que le législateur de l’Union l’a, au demeurant, souligné au considérant 41 de ce règlement, être claire et précise et son application être prévisible pour les justiciables. En particulier, ces derniers doivent être en mesure d’identifier les circonstances et les conditions dans lesquelles la portée des droits que leur confère ledit règlement est susceptible de faire l’objet d’une limitation. |
57 |
Il découle des considérations qui précèdent que l’administration fiscale d’un État membre ne saurait déroger aux dispositions de l’article 5 du règlement 2016/679 en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et les conditions dans lesquelles la portée des obligations et des droits prévus à cet article 5 peut être limitée. |
58 |
Partant, il y a lieu de répondre à la deuxième question que les dispositions du règlement 2016/679 doivent être interprétées en ce sens que l’administration fiscale d’un État membre ne peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement lorsqu’un tel droit ne lui a pas été octroyé par une mesure législative, au sens de l’article 23, paragraphe 1, de celui-ci. |
Sur les troisième à neuvième questions
59 |
Par ses troisième à neuvième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’elles s’opposent à ce que l’administration fiscale d’un État membre impose à un prestataire de services d’annonces publiées sur Internet de lui communiquer, pendant une période indéterminée et sans que soit précisée la finalité de cette demande de communication, des informations relatives à l’ensemble des contribuables ayant publié des annonces dans l’une des rubriques de son portail Internet. |
60 |
À titre liminaire, il convient de faire observer que deux traitements de données à caractère personnel sont susceptibles d’avoir lieu dans une situation telle que celle en cause au principal. Ainsi qu’il ressort des points 37 et 38 du présent arrêt, il s’agit de la collecte de données à caractère personnel à laquelle procède l’administration fiscale auprès du prestataire de services concerné et, dans ce cadre, de la communication par transmission de ces données par ce prestataire à cette administration. |
61 |
Ainsi qu’il ressort de la jurisprudence citée au point 50 du présent arrêt, chacune de ces opérations de traitement doit, sous réserve des dérogations admises à l’article 23 du règlement 2016/679, respecter les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement ainsi que les droits de la personne concernée figurant aux articles 12 à 22 de celui-ci. |
62 |
En l’occurrence, la juridiction de renvoi s’interroge, en particulier, sur la circonstance que, d’une part, les traitements mentionnés au point 60 du présent arrêt concernent des informations en quantité illimitée se rapportant à une période indéterminée et, d’autre part, que la finalité de ces traitements n’est pas précisée dans la demande de communication. |
63 |
À cet égard, il convient de souligner, en premier lieu, que l’article 5, paragraphe 1, sous b), du règlement 2016/679 prévoit que les données à caractère personnel doivent être collectées, notamment, pour des finalités déterminées, explicites et légitimes. |
64 |
Tout d’abord, l’exigence selon laquelle les finalités du traitement doivent être déterminées implique, ainsi qu’il découle du considérant 39 de ce règlement, que celles-ci doivent être identifiées, au plus tard, lors de la collecte des données à caractère personnel. |
65 |
Ensuite, les finalités du traitement doivent être explicites, ce qui signifie que celles-ci doivent être énoncées clairement. |
66 |
Enfin, ces finalités doivent être légitimes. Il importe, dès lors, qu’elles assurent un traitement licite, au sens de l’article 6, paragraphe 1, dudit règlement. |
67 |
Les traitements visés au point 60 du présent arrêt sont initiés par la demande de communication de données à caractère personnel que l’administration fiscale lettone adresse au prestataire de services d’annonces publiées sur Internet. Il apparaît, à cet égard, que, en vertu de l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, ce prestataire est tenu de donner une suite favorable à une telle demande. |
68 |
Au regard des considérations exposées aux points 64 et 65 du présent arrêt, il est nécessaire que les finalités de ces traitements soient clairement énoncées dans cette demande. |
69 |
Pourvu que les finalités ainsi énoncées dans ladite demande soient nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’administration fiscale, cette circonstance suffit, ainsi qu’il découle de l’article 6, paragraphe 1, premier alinéa, initio et sous e), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 3, second alinéa, de ce règlement, pour que lesdits traitements satisfassent également à l’exigence de licéité rappelée au point 66 du présent arrêt. |
70 |
À cet égard, il convient de rappeler que la perception de l’impôt et la lutte contre la fraude fiscale doivent être considérées comme étant des missions d’intérêt public, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), du règlement 2016/679 (voir, par analogie, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 108). |
71 |
Il s’ensuit que, dans un cas où la communication des données à caractère personnel en cause n’est pas directement fondée sur la disposition légale qui en constitue le fondement, mais résulte d’une demande de l’autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d’intérêt public ou de l’exercice de l’autorité publique, afin de permettre au destinataire de ladite demande de s’assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d’opérer un contrôle de la légalité des traitements concernés. |
72 |
En second lieu, conformément à l’article 5, paragraphe 1, sous c), du règlement 2016/679, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. |
73 |
À cet égard, il convient de rappeler que, selon une jurisprudence constante, les dérogations et les restrictions au principe de la protection de telles données doivent s’opérer dans les limites du strict nécessaire [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 110 et jurisprudence citée]. |
74 |
Il s’ensuit que le responsable du traitement, y compris lorsqu’il agit dans le cadre de la mission d’intérêt public dont il a été investi, ne peut procéder, de manière généralisée et indifférenciée, à la collecte de données à caractère personnel et qu’il doit s’abstenir de collecter des données qui ne sont pas strictement nécessaires au regard des finalités du traitement. |
75 |
En l’occurrence, il convient de relever que, ainsi qu’il ressort des points 17 à 19 du présent arrêt, l’administration fiscale lettone a demandé à l’opérateur économique concerné de lui fournir des données relatives aux annonces de vente de voitures particulières publiées sur son site Internet entre le 14 juillet et le 31 août 2018 et, dans l’hypothèse où l’accès à ces informations ne pourrait être rétabli, de lui fournir, au plus tard le troisième jour de chaque mois, les données relatives aux annonces de vente de voitures particulières publiées sur son site Internet durant le mois précédent, sans assortir cette dernière demande d’une quelconque limite temporelle. |
76 |
Eu égard aux considérations exposées au point 74 du présent arrêt, il incombe à la juridiction de renvoi de vérifier si la finalité de la collecte de ces données est susceptible d’être atteinte sans que l’administration fiscale lettone dispose potentiellement des données relatives à l’ensemble des annonces de vente de voitures particulières publiées sur le site Internet dudit opérateur et, notamment, s’il est envisageable que cette administration cible certaines annonces au moyen de critères spécifiques. |
77 |
Dans ce contexte, il convient de souligner que, conformément au principe de responsabilité énoncé à l’article 5, paragraphe 2, du règlement 2016/679, le responsable du traitement doit être en mesure de démontrer qu’il respecte les principes relatifs au traitement des données à caractère personnel énoncés au paragraphe 1 de cet article. |
78 |
Partant, c’est à l’administration fiscale lettone qu’il incombe d’établir que, conformément à l’article 25, paragraphe 2, de ce règlement, elle a cherché à minimiser autant que faire se peut la quantité de données à caractère personnel à collecter. |
79 |
S’agissant de la circonstance que la demande de communication adressée par l’administration fiscale lettone ne prévoit, dans l’hypothèse du non-rétablissement, par le prestataire de services d’annonces concerné, de l’accès aux annonces publiées dans la période ciblée dans la demande, aucune limite temporelle, il y a lieu de rappeler que, compte tenu du principe de minimisation des données, le responsable du traitement est également tenu de limiter au strict nécessaire, à l’aune de l’objectif du traitement envisagé, la période de collecte des données à caractère personnel en cause. |
80 |
Partant, la période sur laquelle porte la collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé. |
81 |
Ainsi qu’il résulte du point 77 du présent arrêt, la charge de la preuve à cet égard incombe à l’administration fiscale lettone. |
82 |
Cependant, la circonstance que lesdites données sont collectées sans que l’administration fiscale lettone ait défini, dans la demande de communication elle-même, une limite temporelle pour un tel traitement ne permet pas, en tant que telle, de considérer que la durée du traitement excède la durée strictement nécessaire pour atteindre l’objectif visé. |
83 |
Dans ce contexte, il convient néanmoins de rappeler que, pour satisfaire à l’exigence de proportionnalité à laquelle l’article 5, paragraphe 1, sous c), du règlement 2016/679 donne expression [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 98 et jurisprudence citée], la réglementation qui fonde le traitement doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus. Cette réglementation doit être légalement contraignante en droit interne et, en particulier, indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire (arrêt du 6 octobre 2020, Privacy International, C‑623/17, EU:C:2020:790, point 68 et jurisprudence citée). |
84 |
Il s’ensuit que la réglementation nationale régissant une demande de communication telle que celle en cause au principal doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C‑623/17, EU:C:2020:790, point 78 et jurisprudence citée). |
85 |
Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux troisième à neuvième questions que les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État membre impose à un prestataire de services d’annonces publiées sur Internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé. |
Sur les dépens
86 |
La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement. |
Par ces motifs, la Cour (cinquième chambre) dit pour droit : |
|
|
|
Signatures |
( *1 ) Langue de procédure : le letton.