CONCLUSIONS DE L’AVOCATE GÉNÉRALE
MME TAMARA ĆAPETA
présentées le 6 octobre 2022 ( 1 )
Affaire C‑268/21
Norra Stockholm Bygg AB
contre
Per Nycander AB,
en présence de
Entral AB
[demande de décision préjudicielle formée par le Högsta domstolen (Cour suprême, Suède)]
« Renvoi préjudiciel – Règlement (UE) 2016/679 – Protection des données à caractère personnel – Article 6, paragraphes 3 et 4 – Traitement de données à caractère personnel – Article 23, paragraphe 1, sous f) – Protection de l’indépendance de la justice et des procédures judiciaires – Demande de la défenderesse dans le cadre d’une procédure civile d’injonction à la requérante de communiquer des informations sur les heures de travail de ses salariés »
I. Introduction
1. |
« Nous attachons de l’importance au respect de votre vie privée. Nous utilisons des cookies pour améliorer l’expérience de navigation de l’utilisateur. Veuillez consulter nos politiques en matière de respect de la vie privée et des cookies » ( 2 ). |
2. |
Un message similaire surgit à l’occasion de la consultation de tout site Internet. |
3. |
Telle est la conséquence du règlement général sur la protection des données (ci-après le « RGPD ») ( 3 ), qui est devenu le principal instrument de protection des données à caractère personnel dans l’Union européenne. |
4. |
Le RGPD surgit-il également devant les juridictions nationales ? Plus particulièrement, s’applique-t-il aux obligations de divulgation dans le cadre d’une procédure civile devant une juridiction nationale ? Dans l’affirmative, quelles obligations impose-t-il à ces juridictions ? Telles sont les problématiques que la Cour est invitée à clarifier dans la présente affaire. |
II. Les faits du litige au principal et les questions préjudicielles
5. |
Ces questions ont été soulevées dans le cadre d’un litige pendant devant la juridiction de renvoi, le Högsta domstolen (Cour suprême, Suède). Les faits à l’origine du litige peuvent être résumés comme suit. Norra Stockholm Bygg AB (ci-après « Fastec »), partie requérante au principal, a réalisé la construction d’un immeuble de bureaux pour Per Nycander AB (ci-après « Nycander »), partie défenderesse au principal. Les salariés travaillant sur ce chantier ont enregistré leur présence au moyen d’un registre électronique à des fins fiscales. Ce registre était fourni par la société Entral AB (ci-après « Entral »), agissant pour le compte de Fastec. |
6. |
La procédure au principal a débuté par un litige portant sur le paiement des travaux effectués. Nycander s’opposait à la demande de paiement de Fastec [d’une somme d’environ 2000000 couronnes suédoises (SEK) (environ 190133 euros)] en faisant valoir que Fastec n’avait pas travaillé autant d’heures que ce qui était réclamé. |
7. |
Pour prouver que tel était bien le cas, Nycander a demandé que Entral communique le registre du personnel qu’elle tenait pour le compte de Fastec. Fastec s’est opposée à cette demande en faisant valoir qu’une telle divulgation violerait le RGPD, les données demandées ayant été collectées à une autre fin et ne pouvant servir de preuve dans l’affaire au principal. |
8. |
Le tingsrätt (tribunal de première instance, Suède) a enjoint à Entral de communiquer ce registre et cette décision a été confirmée en appel par le Svea hovrätt (cour d’appel siégeant à Stockholm, Suède). |
9. |
Fastec a formé un pourvoi contre ladite décision devant le Högsta domstolen (Cour suprême) en lui demandant de rejeter la demande d’injonction de Nycander et, à titre subsidiaire, d’enjoindre qu’une version anonymisée du registre du personnel soit communiquée. C’est dans le cadre de cette procédure que le Högsta domstolen (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
|
10. |
Au cours de la procédure, Fastec, les gouvernements suédois, tchèque et polonais ainsi que la Commission européenne ont présenté des observations écrites. Nycander, les gouvernements suédois et tchèque ainsi que la Commission ont pris part à l’audience qui s’est tenue le 27 juin 2022. |
III. Le cadre juridique
A. Le droit de l’Union
11. |
L’article 5 du RGPD détermine les principes que tout traitement de données à caractère personnel doit respecter : « 1. Les données à caractère personnel doivent être :
2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). » |
12. |
L’article 6 du RGPD, intitulé « Licéité du traitement », dispose, à ses paragraphes 1, 3 et 4, ce qui suit : « 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : [...]
[...]
[...] 3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :
Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. 4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :
|
13. |
En outre, l’article 23, paragraphe 1, du RGPD réglemente les restrictions aux droits et obligations découlant du RGPD : « 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir : [...]
[...] » |
B. Le droit suédois
14. |
L’article 2, premier alinéa, du chapitre 38 du rättegångsbalken (code de procédure judiciaire, ci-après le « RB ») prévoit que quiconque détient un acte susceptible de présenter une importance en tant qu’élément de preuve est tenu de le communiquer. Le second alinéa de cette disposition prévoit des exceptions à une telle obligation, en ce qui concerne notamment les avocats, les médecins, les psychologues, les prêtres et les autres fonctionnaires auxquels des informations ont été communiquées dans l’exercice de leurs fonctions ou dans des circonstances similaires. L’article 4, du chapitre 38 du RB confère au tribunal le pouvoir d’enjoindre la communication d’un acte en tant qu’élément de preuve. |
15. |
Selon la juridiction de renvoi, lorsqu’il s’agit d’examiner si une personne doit être tenue de produire un document, la juridiction doit mettre en balance la pertinence des éléments de preuve et l’intérêt de la partie adverse à ne pas divulguer les informations. Toutefois, ainsi que l’explique la juridiction de renvoi, cela n’implique pas la prise en compte de la nature privée des informations divulguées. |
IV. Analyse
A. Le contexte
16. |
Le RGPD est le principal acte de l’Union régissant la protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. À la différence de la directive 95/46/CE ( 4 ) qui l’a précédé, le RGPD a été adopté sur le fondement de l’article 16 TFUE ( 5 ). Cette base juridique habite le législateur de l’Union à garantir le droit fondamental à la protection des données à caractère personnel, prévu à l’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ( 6 ). |
17. |
Lorsque des données à caractère personnel sont traitées, le RGPD met à la charge du « responsable du traitement [des données] » la responsabilité d’assurer son respect ( 7 ). Il importe donc d’établir qui est le responsable du traitement dans chaque cas de traitement de données à caractère personnel. |
18. |
Conformément à l’article 4, point 7, du RGPD, le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui détermine les finalités et les moyens du traitement de données à caractère personnel. |
19. |
En l’espèce, il y a eu deux cas distincts de traitement de données à caractère personnel. Le premier traitement concerne le registre électronique du personnel tenu par Entral pour le compte de Fastec, cette dernière étant soumise à une obligation, prévue par le droit suédois, de collecter, à des fins fiscales, des données sur les heures de travail effectuées. Dans ce contexte, Fastec est le responsable du traitement et Entral est le sous-traitant ( 8 ). |
20. |
Il n’est pas contesté que ce premier traitement respecte le RGPD. En particulier, l’article 6, paragraphe 1, sous c), du RGPD permet un traitement de données à caractère personnel nécessaire au respect d’une obligation légale à laquelle le responsable du traitement, en l’occurrence Fastec, est soumis ( 9 ). Certes, si ce premier traitement était déclaré illicite au regard du RGPD, le traitement de telles données (à une autre fin) deviendrait certainement, par extension, également illicite ( 10 ). |
21. |
Toutefois, l’intérêt de la présente affaire réside dans le second traitement (à une autre fin) des mêmes données, qui avaient initialement été collectées à des fins fiscales. Cette nouvelle fin est la communication, par Entral, du registre du personnel comme élément de preuve dans le cadre de la procédure civile opposant Fastec à Nycander. La communication de ce registre dans le cadre d’une procédure civile impliquerait nécessairement un traitement de données à caractère personnel. |
22. |
Dans le cadre de ce second traitement, les rôles au titre du RGPD sont autrement distribués que dans le cadre du premier traitement. Le plus important est qu’en enjoignant à Entral de communiquer le registre du personnel (ci-après l’« injonction de communication »), la juridiction nationale devient l’entité qui détermine les finalités et les moyens du second traitement des données ( 11 ). Cette juridiction devient donc le responsable du traitement des données ( 12 ). |
23. |
Dans le cadre de ce second traitement, l’on pourrait considérer Fastec comme demeurant le responsable du traitement ou comme étant investie d’un autre rôle : celui du destinataire de données, qu’elle exercerait conjointement avec Nycander ( 13 ). Toutefois, quand bien même Fastec demeurait le responsable du traitement conjointement avec la juridiction nationale ( 14 ), les obligations de la juridiction nationale en sa qualité de responsable du traitement n’en seraient pas pour autant affectées ( 15 ). Enfin, le rôle d’Entral reste inchangé. Elle demeure le sous‑traitant et continue à traiter les mêmes données à caractère personnel, mais pour le compte du nouveau responsable du traitement, à savoir la juridiction nationale. |
24. |
Par sa première question, la juridiction de renvoi demande en substance si la juridiction nationale peut bel et bien devenir un responsable du traitement au titre du RGPD et si, dans ce cas, ce règlement impose des exigences à la législation procédurale nationale en ce qui concerne les pouvoirs et les obligations des juridictions dans le cadre des procédures civiles. Dans sa seconde question, la juridiction de renvoi demande, dans l’hypothèse où le RGPD s’applique et où la juridiction nationale est le responsable du traitement, selon quelles modalités une telle juridiction devrait décider de la communication de données à caractère personnel devant servir d’éléments de preuve dans le cadre d’une procédure civile. |
25. |
Pour répondre aux interrogations de la juridiction de renvoi, je procéderai de la manière suivante. Je commencerai par exposer les raisons pour lesquelles je considère que le RGPD est applicable aux procédures civiles devant les juridictions des États membres, ainsi que la manière dont il influence la législation procédurale existante des États membres (B). Par la suite, j’examinerai la méthode que les juridictions nationales, en tant que responsables de données, doivent appliquer pour satisfaire aux exigences du RGPD (C). |
B. Le RGPD est applicable aux procédures civiles devant les juridictions nationales et complète les règles procédurales des États membres
26. |
Par sa première question, la juridiction de renvoi demande en substance si le RGPD s’applique aux procédures judiciaires privées et quelle est son influence sur les règles procédurales pertinentes. Plus précisément, elle demande si le RGPD a une incidence sur les règles nationales qui régissent les pouvoirs et les obligations des juridictions lorsqu’elles ordonnent la communication d’éléments de preuve documentaires. Je répondrai à cette question en trois étapes. |
1. Le RGPD n’exclut pas les activités des juridictions nationales dans le cadre de procédures civiles
27. |
Le RGPD définit son champ d’application matériel à son article 2, paragraphe 1, en adoptant une perspective fonctionnelle et non pas institutionnelle. C’est l’activité (de traitement de données à caractère personnel) et non pas la personne qui déclenche l’application du RGPD ( 16 ). |
28. |
Les situations que le RGPD exclut de son champ d’application, qui sont énumérées à son article 2, paragraphe 2, revêtent également un caractère fonctionnel. Étant donné qu’elles constituent l’exception à l’application du RGPD, la Cour a considéré qu’elles doivent être interprétées restrictivement ( 17 ). |
29. |
Les activités des autorités publiques ne sont donc pas exclues du champ d’application du RGPD en tant que telles, mais uniquement dans le contexte des activités énumérées à l’article 2, paragraphe 2, du RGPD ( 18 ). À cet égard, cette disposition n’exclut pas du champ d’application matériel du RGPD les activités judiciaires dans le cadre de procédures civiles. |
30. |
La conclusion selon laquelle le RGPD s’applique aux activités judiciaires est corroborée par le considérant 20 du RGPD ( 19 ), selon lequel cet acte s’applique aux activités des juridictions et des autres autorités judiciaires ( 20 ). |
31. |
L’exclusion de la compétence des autorités de contrôle à l’égard des juridictions dans l’exercice de leur fonction juridictionnelle, énoncée à l’article 55, paragraphe 3, du RGPD, ne remet pas en cause la conclusion qui précède. Bien au contraire, cette disposition confirme, à mon sens, que les juridictions dans l’exercice de leur fonction juridictionnelle sont soumises aux obligations imposées par le RGPD. Elle garantit leur indépendance et leur impartialité en interdisant une surveillance de leurs opérations de traitement par une autorité de contrôle. |
32. |
Le cas d’espèce implique le traitement de données à caractère personnel qui relève du champ d’application matériel du RGPD. La création et la tenue du registre du personnel électronique concernent le traitement des données à caractère personnel ( 21 ). De même, l’injonction de communiquer de telles données à caractère personnel dans le cadre d’une procédure civile est un exemple de traitement de ces données ( 22 ). Par conséquent, la situation au principal relève du champ d’application matériel du RGPD. |
33. |
Quelle incidence cette circonstance a-t-elle sur la mise en œuvre de règles procédurales nationales, telles que le RB ? |
2. Le droit national constitue la condition de licéité du traitement de données par les juridictions nationales
34. |
La base juridique de l’adoption de l’injonction de communication en cause dans la présente affaire est le RB. |
35. |
Le RGPD exige en effet que le traitement des données dans une situation telle que celle en cause en l’espèce trouve sa base juridique dans le droit d’un État membre (ou de l’Union) ( 23 ). |
36. |
Initialement collectées et traitées à des fins fiscales en vertu de l’injonction de communication dans la présente affaire, les données en cause doivent désormais être traitées à des fins probatoires dans le cadre d’une procédure judiciaire. |
37. |
L’article 6, paragraphe 4, du RGPD permet le traitement des données à une fin autre que celle pour laquelle elles ont été collectées s’il est fondé sur le droit d’un État membre, qui constitue une mesure nécessaire dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, du RGPD. Parmi ces objectifs, l’article 23, paragraphe 1, sous f), énumère « la protection de l’indépendance de la justice et des procédures judiciaires ». |
38. |
Toutes les parties à la présente procédure préjudicielle s’accordent à considérer que l’article 23, paragraphe 1, sous f), du RGPD constitue la disposition qu’il convient d’invoquer pour motiver le traitement de données à d’autres fins sur la base du RB ( 24 ). |
39. |
Le RB donne aux juridictions nationales le pouvoir d’ordonner la communication de documents s’ils ont une force probante dans le cadre d’une procédure civile. Comme cela a été expliqué, si un document devant être communiqué contient des données à caractère personnel, la juridiction qui enjoint une telle divulgation devient le responsable du traitement en vertu du RGPD. |
40. |
Ainsi que la Commission l’a souligné lors de l’audience, la juridiction nationale n’est que dans une certaine mesure un responsable ordinaire du traitement. En effet, les juridictions nationales peuvent uniquement traiter des données dans l’exercice de leur autorité publique. |
41. |
Lorsque le traitement des données relève de l’exercice de l’autorité publique ( 25 ), l’article 6, paragraphe 3, du RGPD exige qu’il trouve son fondement dans le droit de l’Union ou d’un État membre. |
42. |
Dès lors, tant l’article 6, paragraphe 4, du RGPD (autorisant le traitement à une autre fin), que l’article 6, paragraphe 3, de ce règlement (permettant un traitement de données dans l’exercice de l’autorité publique) exigent l’existence d’une base juridique du traitement dans le droit national (ou de l’Union) ( 26 ). |
43. |
Le pouvoir d’adopter l’injonction de communication qui a été conféré par le RB à la juridiction constitue donc une condition nécessaire de la licéité du traitement en cause. |
3. Le RGPD complète les règles procédurales nationales
44. |
Si la base juridique requise par le RGPD existe et que l’injonction impliquant le traitement de données à caractère personnel est adoptée conformément à ce droit de l’État membre, les exigences de licéité du traitement du RGPD sont-elles satisfaites ? |
45. |
Je suis d’avis que, si l’existence d’une base juridique en droit national est nécessaire, elle ne suffit cependant pas à assurer la conformité de l’injonction de communication avec le RGPD. |
46. |
La juridiction de renvoi a expliqué que, en vertu du RB, il n’est pas tenu compte, en principe, de la nature privée des informations dans l’adoption de la décision sur la communication des éléments de preuve. Les juridictions sont tenues de prendre en considération les intérêts des deux parties opposées, mais la loi elle-même ne précise pas que les intérêts des personnes concernées jouent un quelconque rôle. |
47. |
Le RB est-il incompatible avec le RGPD en ce qu’il n’oblige pas explicitement les juridictions, lorsqu’elles deviennent des responsables du traitement de données, à prendre en considération les intérêts des personnes concernées lors de l’adoption de décisions susceptibles d’avoir une incidence sur leurs données à caractère personnel ? |
48. |
À mon avis, tel n’est pas le cas. Il convient de prendre en considération le fait que les différentes législations nationales servant de base juridique à un traitement de données n’ont été adoptées spécifiquement en vue de mettre en œuvre le RGPD, mais pour poursuivre une finalité qui leur était propre. D’autant que le RGPD est directement applicable dans les ordres juridiques des États membres et ne nécessite pas à ce titre de mise en œuvre. Il importe donc que, lorsque les règles procédurales nationales et celles du RGPD se rejoignent, les premières prévoient une application simultanée des secondes. |
49. |
Lors de l’audience, le gouvernement suédois a confirmé que le RB n’exige pas la prise en considération par les juridictions des intérêts des personnes concernées, mais qu’il ne l’interdit pas non plus. Le RB ne s’oppose donc pas à ce que le RGPD s’applique directement à la procédure judiciaire qu’il régit. |
50. |
Les juridictions nationales sont donc soumises parallèlement aux règles procédurales internes et au RGPD, ce dernier complétant les règles nationales, si les activités procédurales des juridictions impliquent un traitement de données à caractère personnel. |
51. |
En conclusion, la législation nationale ne doit pas se référer explicitement au RGPD, ni obliger les juridictions à prendre en considération les intérêts des personnes concernées. Il suffit qu’une telle réglementation permette une application complémentaire du RGPD. Ce n’est que si tel n’était pas le cas que la législation nationale serait contraire au RGPD. Cependant, le RB semble permettre une application complémentaire du RGPD ( 27 ). |
52. |
En réponse à la première question de la juridiction de renvoi, je conclurai donc que l’article 6, paragraphes 3 et 4, du RGPD impose des exigences à la législation procédurale nationale en matière d’obligations de divulgation chaque fois que la divulgation implique le traitement de données à caractère personnel. La législation procédurale nationale ne peut pas empêcher, dans un tel cas, la prise en considération des intérêts des personnes concernées. Ces intérêts seront garantis si les juridictions nationales respectent les règles du RGPD, lorsqu’elles décident de la communication d’éléments de preuve documentaires dans un cas particulier. |
C. Les obligations de la juridiction nationale en ce qui concerne les intérêts des personnes concernées
53. |
En leur qualité de sujets du RGPD et de responsables du traitement de données, les juridictions nationales doivent prendre en considération les intérêts des personnes concernées. Comment ces intérêts doivent-ils être pris en considération dans l’adoption d’une décision spécifique d’injonction ? Telle est, en substance, la seconde question de la juridiction de renvoi. |
1. Proportionnalité
54. |
Les intérêts des personnes concernées seront protégés si le traitement de leurs données à caractère personnel est conforme aux articles 5 et 6 du RGPD ( 28 ). Pour citer l’avocat général Pikamäe, le respect des articles 5 et 6 du RGPD assure la protection du droit à la vie privée et familiale ainsi que la protection des données à caractère personnel, telles qu’elles sont respectivement garanties par les articles 7 et 8 de la Charte ( 29 ). |
55. |
Les objectifs légitimes de traitement sont énumérés à l’article 6 du RGPD ( 30 ). Comme cela vient d’être expliqué dans la section précédente des présentes conclusions, le traitement en cause poursuit une finalité légitime, puisque la juridiction a exercé son autorité publique en enjoignant la communication sur le fondement du droit national qui sert à assurer le bon déroulement de la procédure judiciaire. Cependant, tant l’article 6 que l’article 5 du RGPD n’exigent pas seulement un objectif légitime ; il faut encore que le traitement spécifique soit nécessaire pour atteindre cet objectif. |
56. |
Le RGPD exige donc que la juridiction procède à une analyse de proportionnalité en déterminant si la communication de données à caractère personnel dans une situation concrète est nécessaire à des fins probatoires dans le cadre d’une procédure judiciaire ( 31 ). |
57. |
À cet égard, l’article 6, paragraphe 4, du RGPD exige que le droit national sur lequel est fondé le traitement des données à une fin autre que celle pour laquelle elles ont été collectées constitue une mesure nécessaire et proportionnée pour garantir l’un des objectifs énumérés à l’article 23, paragraphe 1, du RGPD, en l’occurrence la protection de l’indépendance de la justice et des procédures judiciaires. En outre, l’article 6, paragraphe 3, du RGPD exige que le traitement relevant de l’exercice de l’autorité publique soit nécessaire à l’exercice d’une telle autorité publique dont est investi le responsable du traitement. |
58. |
Le droit national qui constitue le fondement du traitement peut être conforme in abstracto aux exigences de l’article 6, paragraphes 3 et 4, du RGPD. Néanmoins, la licéité de chaque traitement particulier (comme l’injonction spécifique de communication d’une juridiction) dépendra de la pondération concrète de l’ensemble des intérêts en cause, compte tenu du but légitime pour lequel la communication a été demandée ( 32 ). C’est uniquement de cette manière que la juridiction nationale pourra décider si et dans quelle mesure la communication est nécessaire. |
59. |
Il apparaît donc clairement que le RGPD exige une analyse de la proportionnalité. Le RGPD donne-t-il des indications supplémentaires pour répondre à la question de savoir quelles étapes concrètes doivent être suivies par la juridiction dans le cadre d’une telle analyse ? |
2. Les étapes particulières devant être suivies par la juridiction nationale
60. |
Comme cela a déjà été expliqué, l’analyse de la proportionnalité doit être effectuée au cas par cas, en prenant en considération l’ensemble des intérêts en présence. Dans des situations telles que celle en cause, il convient de procéder à une pondération entre les intérêts sous-tendant la communication et l’atteinte au droit à la protection des données à caractère personnel ( 33 ). |
61. |
Les intérêts sous-tendant la communication sont l’expression du droit à une protection juridictionnelle effective (article 47 de la Charte). Les intérêts des personnes concernées, qui entrent en conflit avec ce premier droit, sont l’expression du droit à la vie privée et familiale (article 7 de la Charte) et du droit à la protection des données à caractère personnel (article 8 de la Charte). Ce sont ces droits qu’il convient de mettre en balance afin de décider si la communication des données à caractère personnel est nécessaire. |
62. |
Ci-dessous, je présenterai certaines suggestions en ce qui concerne les étapes particulières qu’une juridiction nationale est censée suivre. |
63. |
Tout d’abord, l’on peut toujours présumer que les personnes concernées qui n’ont pas donné leur consentement au traitement de leurs données à caractère personnel ont un intérêt à en limiter le traitement. Tel est donc le postulat de départ par défaut de la juridiction nationale, qui devra motiver la nécessité de porter atteinte à cet intérêt. |
64. |
À mon sens, des instructions pour procéder à cette appréciation peuvent être dégagées de l’article 5 du RGPD, qui contient les principes que le responsable des données doit respecter dans le traitement des données à caractère personnel. |
65. |
À cet égard, le principe de minimisation des données, issu de l’article 5, paragraphe 1, sous c), du RGPD, revêt une importance capitale. Il constitue, comme le souligne la Cour, une expression de la proportionnalité ( 34 ). Il exige que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. |
66. |
La première question consiste donc à savoir si les données figurant dans le registre du personnel tenu par Entral sont adéquates. Elles seront adéquates au regard de la finalité pour laquelle elles doivent être communiquées, si elles indiquent en particulier le nombre d’heures de travail effectuées par les salariés de Fastec sur le chantier. |
67. |
La deuxième question est de savoir si les données dans le registre du personnel tenu par Entral sont pertinentes au regard de la finalité pour laquelle elles sont demandées. La finalité semble être l’intérêt de Nycander à prouver sa thèse selon laquelle les salariés de Fastec ont travaillé moins d’heures que ce qui a été facturé. Dans de telles circonstances, la pertinence du registre du personnel dépend de sa capacité effective à prouver ou à réfuter une telle prétention. Cette pertinence devra être appréciée par la juridiction nationale à la lumière d’autres circonstances de l’espèce (par exemple, l’affirmation de Fastec selon laquelle le registre du personnel ne contient qu’une partie des heures de travail entrant en ligne de compte, une autre partie des heures de travail ayant été effectuées en dehors du chantier). |
68. |
Pour tenir compte de la troisième exigence du principe de minimisation des données, la juridiction nationale doit déterminer si toutes les données ou seule une partie de celles-ci consignées dans le registre sont suffisantes à des fins probatoires. En outre, s’il existe d’autres moyens de prouver le même fait, la minimisation des données exige de recourir à ces autres moyens. Par exemple, la juridiction nationale pourrait être amenée à apprécier l’allégation de Fastec selon laquelle les heures effectives de travail peuvent être vérifiées au regard de documents qui font déjà partie du dossier de l’affaire au principal devant la juridiction de renvoi. Si elle juge que cette allégation est exacte, la juridiction nationale ne peut pas ordonner la communication de données à caractère personnel du registre du personnel. |
69. |
La juridiction nationale doit déterminer quelles catégories de données à caractère personnel du registre suffisent à prouver ou à réfuter les faits pertinents. À cet égard, le principe de minimisation des données exige de ne communiquer que les données qui sont strictement nécessaires au regard de la finalité en question. Il se peut donc que Entral, en sa qualité de sous-traitant, soit contrainte de modifier le registre du personnel de manière à limiter les données à caractère personnel au minimum nécessaire, tout en permettant de tirer une conclusion sur les heures effectives de travail. |
70. |
À cet égard, la juridiction nationale doit se prononcer sur la nécessité de pouvoir identifier les personnes dont les données sont consignées dans le registre pour que la communication ait une valeur probante (par exemple, la nécessité de révéler l’identité des travailleurs pour les convoquer en qualité de témoins). Si l’identification des personnes n’est pas nécessaire, des informations relatives au nombre total d’heures consacrées au chantier et/ou au nombre de travailleurs peuvent suffire. |
71. |
En fonction des réponses apportées aux questions précédentes, la juridiction peut décider de demander la communication de données pseudonymisées ou anonymisées ( 35 ). |
72. |
En vertu du considérant 26 du RGPD, les données qui ont fait l’objet d’une pseudonymisation continuent de relever du champ d’application matériel du RGPD. La raison en est que la pseudonymisation continue à permettre de retracer l’identité d’une personne à l’origine du pseudonyme. Il n’en va pas de même pour les données rendues anonymes, qui ne relèvent pas du champ d’application du RGPD. Les modalités de communication qui seront en définitive ordonnées par la juridiction nationale auront donc également une incidence sur l’applicabilité ultérieure du RGPD ( 36 ). |
73. |
C’est en définitive à la juridiction nationale qu’il incombera de déterminer la valeur probante des différentes versions du registre du personnel afin de décider quelle catégorie de minimisation de données est, le cas échéant, nécessaire à la bonne fin de la procédure judiciaire dont elle est saisie. |
74. |
Outre le principe de minimisation des données figurant à l’article 5, paragraphe 1, sous c), du RGPD, d’autres principes contenus à l’article 5 du RGPD lient également la juridiction nationale et sont pertinents pour déterminer les modalités de l’adoption de l’injonction de divulgation. |
75. |
Par exemple, non seulement l’article 5, paragraphe 1, sous a), du RGPD se réfère au principe de licéité (plus amplement développé à l’article 6 du RGPD), mais il mentionne également le principe de transparence. Selon moi, ce principe exige que la juridiction nationale explique clairement sa décision d’enjoindre la communication des données à caractère personnel, en indiquant notamment comment elle a mis en balance les différents intérêts et arguments des parties relatifs à la communication. |
76. |
Une motivation adéquate de l’injonction de communication satisfait également à l’exigence de l’article 5, paragraphe 2, du RGPD, selon laquelle le responsable du traitement doit être en mesure de démontrer le respect des principes énoncés au paragraphe 1 de cette disposition. |
77. |
Les modalités du respect des principes de l’article 5 du RGPD peuvent également être interprétées à partir du considérant 31 du RGPD, selon lequel « [l]es demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers ». |
78. |
Le gouvernement polonais a soulevé une question relative à l’appréciation par la juridiction nationale de la proportionnalité : si c’est à cette dernière d’apprécier la valeur probante du registre du personnel ou d’un autre élément de preuve dans le litige dont elle est saisie, ne serait-elle pas déjà trop impliquée dans ce qui devrait continuer à incomber aux parties, qui doivent s’efforcer de remporter le débat relatif à la force probante même de tels éléments de preuve ? |
79. |
À mon sens, l’appréciation de la valeur probante qui prend en considération les intérêts des personnes concernées n’a pas plus pour effet d’interférer dans la procédure que l’appréciation de la force probante de tout autre élément de preuve dans le cadre d’une procédure civile ( 37 ). |
80. |
Le niveau de l’ingérence de la juridiction nationale dépendra du caractère manifeste de la valeur probante des données dont la communication est demandée dans les circonstances du cas d’espèce. La mesure dans laquelle la divulgation peut porter atteinte aux intérêts des personnes concernées sera toujours fonction de chaque cas individuel. |
81. |
Par exemple, certaines affaires peuvent impliquer des données sensibles bénéficiant d’un régime spécial de protection au titre de l’article 9 du RGPD, ou encore des sanctions pénales relatives au régime de l’article 10 de celui-ci. Dans de telles situations, les intérêts des personnes concernées prendront nécessairement de l’importance dans l’exercice de pondération ( 38 ). De même, l’intérêt à la divulgation peut différer selon les cas particuliers. Si la pertinence de certains éléments de preuve sera parfois clairement marginale, dans d’autres cas, elle sera au centre de la résolution de l’affaire. À cet égard, l’argument de la Commission, selon lequel la juridiction nationale doit disposer d’une grande latitude lorsqu’elle procède à de telles appréciations, est parfaitement valable. Cette juridiction ne doit cependant jamais être dispensée de l’obligation de prendre en compte les intérêts des personnes concernées. |
82. |
Le gouvernement tchèque a exprimé une autre préoccupation : le fait d’imposer aux juridictions nationales l’obligation de prendre en considération les intérêts des personnes concernées chaque fois qu’elles ordonnent la communication de preuves documentaires entraverait le bon fonctionnement de la procédure judiciaire. Il est vrai que le RGPD impose une obligation supplémentaire ( 39 ) aux juridictions, à savoir celle de procéder au contrôle de proportionnalité avant d’ordonner la communication de preuves documentaires contenant des données à caractère personnel. Toutefois, la mise en balance des intérêts ne constitue pas un exercice intellectuel inhabituel pour les juridictions et la charge qui en résulte pour les juridictions nationales ne diffère pas de celle qu’impose le RGPD à tout responsable du traitement des données. |
83. |
Si les citoyens de l’Union sont censés jouir d’un niveau élevé de protection de leurs données à caractère personnel, qui est cohérent avec le choix du législateur de l’Union tel qu’exprimé dans le RGPD, l’on ne saurait voir dans la prise en considération des intérêts des personnes concernées une charge excessive imposée aux juridictions des États membres. |
84. |
Je propose par conséquent à la Cour de répondre à la seconde question de la juridiction de renvoi de la manière suivante : lorsqu’elle prend une décision d’injonction dans le cadre d’une procédure civile impliquant le traitement de données à caractère personnel, la juridiction nationale doit procéder à une analyse de proportionnalité tenant compte des intérêts des personnes concernées dont les données à caractère personnel doivent être traitées et mettre ces intérêts en balance avec l’intérêt des parties à la procédure à obtenir les éléments de preuve. Cette appréciation de proportionnalité est guidée par les principes énoncés à l’article 5 du RGPD, parmi lesquels figure le principe de minimisation des données. |
V. Conclusion
85. |
À la lumière des considérations qui précèdent, je propose à la Cour de répondre aux deux questions préjudicielles posées par le Högsta domstolen (Cour suprême, Suède) de la manière suivante :
|
( 1 ) Langue originale : l’anglais.
( 2 ) Ce message apparaît en particulier à l’adresse Internet suivante : https://eulawlive.com/.
( 3 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).
( 4 ) Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31). La directive 95/46 a été adoptée sur la base juridique du marché intérieur. Pour une première analyse des modifications introduites par le RGPD, voir Van Alsenoy, B., « Liability under EU Data Protection Law. From Directive 95/46 to the General Data Protection Regulation » (Responsabilité au titre du droit de l’Union sur la protection des données. De la directive 95/46 au règlement général sur la protection des données), Journal of Intellectual Property, Information Technology and Electronic Commerce Law, vol. 7, 2016, p. 271 à 288.
( 5 ) Malgré leur différence de base juridique, la jurisprudence interprétative de la directive 95/46 est pertinente pour comprendre le RGPD. Voir, à cet égard, arrêt du 17 juin 2021, M.I.C.M. (C‑597/19, EU:C:2021:492, point 107). Je me référerai donc, le cas échéant, à la jurisprudence de la Cour relative à la directive 95/46. De même, dans la mesure où elle prévoit des solutions analogues aux restrictions au droit à la protection des données, je me référerai également à la jurisprudence de la Cour concernant la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37). La Cour a considéré que l’interprétation des restrictions aux droits découlant de la directive 2002/58 s’applique, mutatis mutandis, à l’interprétation du RGPD. Voir, à cet égard, arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, points 209 à 211).
( 6 ) Voir considérant 1 du RGPD.
( 7 ) Voir article 5, paragraphe 2, du RGPD.
( 8 ) L’article 4, point 8, du RGPD définit le sous-traitant comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ».
( 9 ) Conformément à l’article 6, paragraphe 3, du RGPD, lorsque le traitement a lieu aux fins du respect d’une obligation légale à laquelle le responsable du traitement des données est soumis, le fondement de ce traitement est défini par le droit de l’Union ou le droit de l’État membre, qui répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. Le respect de la législation fiscale nationale a été considéré comme un objectif légitime dans l’arrêt du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, points 60 à 63).
( 10 ) Voir, par analogie, arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, EU:C:2021:152, point 44).
( 11 ) La détermination de la finalité et des moyens du traitement des données à caractère personnel constituent les activités essentielles qui permettent de désigner le responsable du traitement des données. Voir arrêt du 10 juillet 2018, Jehovan todistajat (C‑25/17, EU:C:2018:551, point 68). Voir aussi Bygrave, L. A., et Tossoni, L., « Article 4(7). Controller » (Article 4, point 7, Le responsable du traitement), de Kuner, C., Bygrave, L. A., Docksey, C., et Drechsler, L. (éd.), The EU General Data Protection Regulation (GDPR) : A Commentary (Commentaire sur le règlement général sur la protection des données à caractère personnel – RGPD), OUP, Oxford, 2021, p. 150.
( 12 ) Lors de l’audience, les gouvernements suédois et polonais ainsi que la Commission ont reconnu que ce rôle incombe désormais à la juridiction nationale. Nycander a soutenu que Fastec demeurait l’unique responsable du traitement des données dans le cadre du second traitement, alors que le rôle de la juridiction nationale serait celui d’un intermédiaire. Il convient de relever que le terme « intermédiaire » n’est utilisé nulle part dans le RGPD.
( 13 ) L’article 4, point 9, du RGPD définit le destinataire comme étant la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit la communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. En leur qualité de parties à une procédure civile, Fastec et Nycander deviendront des destinataires de données traitées sur la base de l’injonction de communication de la juridiction. Lors de l’audience, la Commission a maintenu que Fastec n’est pas devenue le destinataire, mais restait le responsable du traitement.
( 14 ) L’article 26, paragraphe 1, du RGPD énonce : « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement. Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement, notamment en ce qui concerne l’exercice des droits de la personne concernée, et leurs obligations respectives quant à la communication des informations visées aux articles 13 et 14, par voie d’accord entre eux, sauf si, et dans la mesure, où leurs obligations respectives sont définies par le droit de l’Union ou par le droit de l’État membre auquel les responsables du traitement sont soumis. Un point de contact pour les personnes concernées peut être désigné dans l’accord. » Voir, également, arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 67).
( 15 ) La Cour a expliqué que la notion de « responsable du traitement » est une notion large et que différents acteurs peuvent être impliqués à différents stades du traitement. Arrêt du 29 juillet 2019, Fashion ID (C‑40/17, EU:C:2019:629, point 70).
( 16 ) La personne n’est qu’exceptionnellement pertinente. Par exemple, en vertu de l’article 2, paragraphe 3, du RGPD, les institutions, organes et organismes de l’Union ne sont pas soumis au RGPD. Ils sont néanmoins soumis au règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1).
( 17 ) Voir arrêt du 9 juillet 2020, Land Hessen (C‑272/19, EU:C:2020:535, point 68).
( 18 ) L’article 2, paragraphe 2, de ce règlement dispose : « Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué : a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ; b) par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ; c) par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ; d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »
( 19 ) Le considérant 20 du RGPD indique : « Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données. »
( 20 ) Voir, en ce sens, arrêt du 24 mars 2022, Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, points 25 et 26).
( 21 ) La Cour a confirmé que les registres du temps de travail constituent en particulier des données à caractère personnel dans l’arrêt du 30 mai 2013, Worten (C‑342/12, EU:C:2013:355, point 19).
( 22 ) La transmission de documents au tribunal dans le cadre de la procédure civile a été considérée comme étant du traitement de données dans les conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données collectées aux fins d’une enquête pénale) (C‑180/21, EU:C:2022:406, points 82 et 83). Cette affaire est toujours pendante au moment de la publication des présentes conclusions.
( 23 ) Dans le cadre de la directive 2002/58, la Cour a considéré que cette directive n’exclut pas la possibilité pour les États membres de prévoir une obligation de communiquer des données à caractère personnel dans le cadre d’une procédure civile. Voir, en ce sens, arrêt du 29 janvier 2008, Promusicae (C‑275/06, EU:C:2008:54, point 53). Il en va de même, selon moi, en ce qui concerne le RGPD.
( 24 ) La Commission propose en outre de justifier le traitement de données à d’autres fins au moyen d’une autre disposition, à savoir l’article 23, paragraphe 1, sous i), du RGPD (« la protection de la personne concernée ou des droits et libertés d’autrui »). Le gouvernement polonais a quant à lui invoqué à cet effet l’article 23, paragraphe 1, sous j), du RGPD (« l’exécution des demandes de droit civil »).
( 25 ) Le traitement relevant de l’exercice de l’autorité publique est rendu possible par l’article 6, paragraphe 1, sous e), du RGPD.
( 26 ) Le traitement peut également se fonder sur le consentement de la personne concernée, ce qui n’est toutefois pas le cas en l’espèce.
( 27 ) C’est à la juridiction nationale qu’il incombe de trancher le point de savoir si tel est bien le cas, selon la répartition de compétences entre la Cour et les juridictions des États membres dans la procédure de renvoi préjudiciel.
( 28 ) Voir arrêts du 16 janvier 2019, Deutsche Post (C‑496/17, EU:C:2019:26, point 57), et du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208). La Cour est parvenue à la même conclusion dans le cadre de la directive 95/46. Voir, par exemple, arrêts du 20 mai 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 et C‑139/01, EU:C:2003:294, point 65), ainsi que du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 71).
( 29 ) Voir conclusions de l’avocat général Pikamäe dans l’affaire Vyriausioji tarnybinės etikos komisija (C‑184/20, EU:C:2021:991, point 36).
( 30 ) La Cour a jugé que la liste des cas de traitement licite de données à l’article 6 du RGPD est exhaustive et limitative. Voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 99). Dans le cadre de la directive 95/46, la Cour a adopté la même interprétation quant à la licéité du traitement dans les arrêts du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 25), et du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, points 37 et 38).
( 31 ) Voir, également, considérant 39 du RGPD, qui indique : « [...] Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. [...] Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. »
( 32 ) La Cour a expliqué que la pondération est fonction des circonstances concrètes du cas particulier concerné. Voir, en ce sens, arrêts du 4 mai 2017, Rīgas satiksme (C‑13/16, EU:C:2017:336, point 31), et du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064, point 32).
( 33 ) Voir arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert (C‑92/09 et C‑93/09, EU:C:2010:662, point 77).
( 34 ) Voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C‑439/19, EU:C:2021:504, point 98).
( 35 ) Fastec demande en effet à la juridiction de renvoi, à titre principal, de rejeter la demande de communication du registre du personnel ou, à titre subsidiaire, de ne communiquer le registre du personnel que dans une version anonymisée. La Commission a proposé une solution consistant en la production d’une version pseudonymisée du registre du personnel, en invoquant le principe de minimisation des données et en se référant à l’article 25, paragraphe 1, du RGPD.
( 36 ) Par exemple, le fait d’anonymiser le registre dispense le responsable du traitement des données de l’obligation d’informer les personnes concernées du traitement, comme l’exige en principe l’article 14 du RGPD.
( 37 ) Comme l’a expliqué la juridiction de renvoi, en vertu du RB, les juridictions sont déjà tenues de mettre en balance la pertinence des éléments de preuve et l’intérêt de la partie adverse à ne pas divulguer ces informations.
( 38 ) Dans le cadre de la directive 2002/58, la Cour a jugé de manière constante que l’étendue de l’ingérence dans le droit à la protection des données est fonction de l’importance de l’objectif d’intérêt public poursuivi. Voir arrêts du 21 décembre 2016, Tele2 Sverige et Watson e.a. (C‑203/15 et C‑698/15, EU:C:2016:970, point 115) ; du 2 octobre 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, point 55) ; du 6 octobre 2020, La Quadrature du Net e.a. (C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 131), et du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C‑746/18, EU:C:2021:152, point 32).
( 39 ) Dans les systèmes juridiques dont les règles procédurales n’ont pas précédemment exigé un tel contrôle.