ARRÊT DE LA COUR (première chambre)

7 décembre 2023 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous a) – Principe de la “licéité” – Article 6, paragraphe 1, premier alinéa, sous f) – Nécessité du traitement aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers – Article 17, paragraphe 1, sous d) – Droit à l’effacement en cas de traitement illicite de données à caractère personnel – Article 40 – Codes de conduite – Article 78, paragraphe 1 – Droit à un recours juridictionnel effectif contre une autorité de contrôle – Décision prise par l’autorité de contrôle sur une réclamation – Portée du contrôle juridictionnel sur cette décision – Sociétés fournissant des informations commerciales – Conservation de données provenant d’un registre public relatives à la libération de reliquat de dette en faveur d’une personne – Durée de la conservation »

Dans les affaires jointes C‑26/22 et C‑64/22,

ayant pour objet des demandes de décision préjudicielle au titre de l’article 267 TFUE, introduites par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décisions du 23 décembre 2021 et du 31 janvier 2022, parvenues à la Cour le 11 janvier 2022 et le 2 février 2022, dans les procédures

UF (C‑26/22),

AB (C‑64/22)

contre

Land Hessen,

en présence de :

SCHUFA Holding AG,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, MM. T. von Danwitz, P. G. Xuereb, A. Kumin (rapporteur) et Mme I. Ziemele, juges,

avocat général : M. P. Pikamäe,

greffier : Mme K. Hötzel, administratrice,

vu la procédure écrite et à la suite de l’audience du 26 janvier 2023,

considérant les observations présentées :

pour UF et AB, par Mes R. Rohrmoser et S. Tintemann, Rechtsanwälte,

pour le Land Hessen, par Mes M. Kottmann et G. Ziegenhorn, Rechtsanwälte,

pour SCHUFA Holding AG, par M. G. Thüsing et Me U. Wuermeling, Rechtsanwalt,

pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,

pour le gouvernement portugais, par Mmes P. Barros da Costa, M. J. Ramos et C. Vieira Guerra, en qualité d’agents,

pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher, H. Kranenborg et W. Wils, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 16 mars 2023,

rend le présent

Arrêt

1

Les demandes de décision préjudicielle portent sur l’interprétation des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ainsi que de l’article 6, paragraphe 1, premier alinéa, sous f), de l’article 17, paragraphe 1, sous d), de l’article 40, de l’article 77, paragraphe 1, et de l’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci-après le « RGPD »).

2

Ces demandes ont été présentées dans le cadre de deux litiges opposant UF (affaire C‑26/22) et AB (affaire C‑64/22) au Land Hessen (Land de Hesse, Allemagne) au sujet du refus du Hessischer Beauftragter für Datenschutz und Informationsfreiheit (Commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, Allemagne) (ci-après le « HBDI ») d’enjoindre à SCHUFA Holding AG (ci-après « SCHUFA ») de procéder à la suppression de données conservées par celle-ci relatives aux libérations de reliquat de dette en faveur de UF et de AB.

Le cadre juridique

Le droit de l’Union

La directive 2008/48/CE

3

Aux termes des considérants 26 et 28 de la directive 2008/48/CE du Parlement européen et du Conseil, du 23 avril 2008, concernant les contrats de crédit aux consommateurs et abrogeant la directive 87/102/CEE du Conseil (JO 2008, L 133, p. 66) :

« (26)

[...] Il importe, en particulier sur un marché du crédit en expansion, que les prêteurs ne soient pas amenés à octroyer des prêts de manière irresponsable ou à accorder des crédits sans évaluation préalable de la solvabilité, et que les États membres exercent la surveillance nécessaire afin de prévenir de tels comportements, et définissent les moyens nécessaires pour sanctionner les prêteurs qui en seraient auteurs. [...] [L]es prêteurs devraient avoir la responsabilité de vérifier la solvabilité de chaque consommateur cas par cas. [...]

[...]

(28)

Afin d’évaluer la solvabilité d’un consommateur, le prêteur devrait également consulter les bases de données pertinentes. Les circonstances de droit et de fait peuvent nécessiter que ces consultations soient réalisées dans un cadre variable. Afin de ne pas créer de distorsion de concurrence entre les prêteurs, il convient de veiller à ce que ceux-ci aient accès aux bases de données privées ou publiques concernant les consommateurs d’un État membre dans lequel ils ne sont pas établis dans des conditions non discriminatoires par rapport à celles prévues pour les prêteurs de cet État membre. »

4

L’article 8 de cette directive, intitulé « Obligation d’évaluer la solvabilité du consommateur », prévoit, à son paragraphe 1 :

« Les États membres veillent à ce que, avant de conclure le contrat de crédit, le prêteur évalue la solvabilité du consommateur, à partir d’un nombre suffisant d’informations, fournies, le cas échéant, par ce dernier et, si nécessaire, en consultant la base de données appropriée. Les États membres dont la législation prévoit l’évaluation obligatoire par le prêteur de la solvabilité du consommateur sur la base d’une consultation de la base de données appropriée peuvent maintenir cette obligation. »

La directive 2014/17/UE

5

Aux termes des considérants 55 et 59 de la directive 2014/17/UE du Parlement européen et du Conseil, du 4 février 2014, sur les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel et modifiant les directives 2008/48/CE et 2013/36/UE et le règlement (UE) no 1093/2010 (JO 2014, L 60, p. 34) :

« (55)

Il est essentiel que la capacité et la propension du consommateur à rembourser le crédit soient évaluées et vérifiées avant la conclusion d’un contrat de crédit. Cette évaluation de la solvabilité devrait tenir compte de tous les facteurs nécessaires et pertinents susceptibles d’influer sur la capacité de remboursement du consommateur sur toute la durée du crédit. [...]

[...]

(59)

La consultation d’une base de données sur le crédit est un élément utile pour l’évaluation de la solvabilité. [...] »

6

L’article 18 de cette directive, intitulé « Obligation d’évaluer la solvabilité du consommateur », dispose, à son paragraphe 1 :

« Les États membres veillent à ce que, avant de conclure un contrat de crédit, le prêteur procède à une évaluation rigoureuse de la solvabilité du consommateur. Cette évaluation prend en compte, de manière appropriée, les facteurs pertinents permettant de vérifier la probabilité que le consommateur remplisse ses obligations aux termes du contrat de crédit. »

7

L’article 21 de ladite directive, intitulé « Accès aux bases de données », énonce, à ses paragraphes 1 et 2 :

« 1.   Chaque État membre veille à ce que tous les prêteurs de tous les États membres disposent d’un accès aux bases de données utilisées dans cet État membre pour l’évaluation de la solvabilité des consommateurs et à la seule fin du contrôle du respect, par ceux-ci, de leurs obligations de crédit sur la durée du contrat de crédit. Les conditions d’accès à ces bases de données ne peuvent être discriminatoires.

2.   Le paragraphe 1 s’applique tant aux bases de données qui sont gérées par des bureaux de crédit privés ou par des sociétés d’information financière sur le crédit qu’aux registres publics du crédit. »

Le règlement (UE) 2015/848

8

Aux termes du considérant 76 du règlement (UE) 2015/848 du Parlement européen et du Conseil, du 20 mai 2015, relatif aux procédures d’insolvabilité (JO 2015, L 141, p. 19) :

« Afin d’améliorer la communication d’informations aux créanciers et juridictions concernés et d’éviter l’ouverture de procédures d’insolvabilité parallèles, les États membres devraient être tenus de publier les informations pertinentes relatives aux affaires d’insolvabilité transfrontalières dans un registre électronique accessible à tous. Pour permettre aux juridictions et aux créanciers domiciliés ou établis dans d’autres États membres d’accéder aisément à cette information, le présent règlement devrait prévoir l’interconnexion de ces registres d’insolvabilité par l’intermédiaire du portail européen e-Justice. [...] »

9

L’article 79 de ce règlement, intitulé « Responsabilités des États membres en ce qui concerne le traitement des données à caractère personnel dans les registres d’insolvabilité nationaux », prévoit, à ses paragraphes 4 et 5 :

« 4.   Les États membres sont responsables, conformément à la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)], de la collecte et du stockage des données dans les bases de données nationales ainsi que des décisions prises afin d’assurer la mise à disposition de ces données dans le registre interconnecté, qui peut être consulté sur le portail européen e–Justice.

5.   Dans le cadre des informations à fournir aux personnes concernées afin de leur permettre d’exercer leurs droits, et en particulier le droit à l’effacement des données, les États membres informent les personnes concernées de la période durant laquelle les données à caractère personnel stockées dans les registres d’insolvabilité sont accessibles. »

Le RGPD

10

Aux termes des considérants 10, 11, 47, 50, 98, 141 et 143 du RGPD :

« (10)

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

(11)

Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.

[...]

(47)

Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. [...]

[...]

(50)

Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. [...] Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu ; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données ; la nature des données à caractère personnel ; les conséquences pour les personnes concernées du traitement ultérieur prévu ; et l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu.

[...]

(98)

Il y a lieu d’encourager les associations ou autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des micro, petites et moyennes entreprises. Ces codes de conduite pourraient, en particulier, définir les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.

[...]

(141)

Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. L’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d’espèce. L’autorité de contrôle devrait informer la personne concernée de l’état d’avancement et de l’issue de la réclamation dans un délai raisonnable. [...]

[...]

(143)

[...] [T]oute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet de réclamations. Toutefois, ce droit à un recours juridictionnel effectif ne couvre pas des mesures prises par les autorités de contrôle qui ne sont pas juridiquement contraignantes, telles que les avis émis ou les conseils fournis par une autorité de contrôle. Les actions contre une autorité de contrôle devraient être portées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d’une compétence de pleine juridiction, ce qui devrait comprendre la compétence pour examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.

Lorsqu’une réclamation a été rejetée ou refusée par une autorité de contrôle, l’auteur de la réclamation peut intenter une action devant les juridictions de ce même État membre. Dans le cadre des recours juridictionnels relatifs à l’application du présent règlement, les juridictions nationales qui estiment qu’une décision sur la question est nécessaire pour leur permettre de rendre leur jugement peuvent ou, dans le cas prévu à l’article 267 du traité sur le fonctionnement de l’Union européenne, doivent demander à la Cour de justice de statuer à titre préjudiciel sur l’interprétation du droit de l’Union, y compris le présent règlement. [...] »

11

L’article 5 de ce règlement, intitulé « Principes relatifs au traitement des données à caractère personnel », est ainsi libellé :

« 1.   Les données à caractère personnel doivent être :

a)

traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

c)

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[...]

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

12

L’article 6 dudit règlement, intitulé « Licéité du traitement », énonce :

« 1.   Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[...]

f)

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

[...]

4.   Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a)

de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b)

du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c)

de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d)

des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e)

de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

13

L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[...]

c)

la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)

les données à caractère personnel ont fait l’objet d’un traitement illicite ;

[...] »

14

L’article 21 de ce règlement, intitulé « Droit d’opposition », dispose, à ses paragraphes 1 et 2 :

« 1.   La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.   Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection. »

15

L’article 40 dudit règlement, intitulé « Codes de conduite », énonce, à ses paragraphes 1, 2 et 5 :

« 1.   Les États membres, les autorités de contrôle, le comité et la Commission [européenne] encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.

2.   Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que :

a)

le traitement loyal et transparent ;

b)

les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;

c)

la collecte des données à caractère personnel ;

[...]

5.   Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modification ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes. »

16

L’article 51 du RGPD, intitulé « Autorité de contrôle », prévoit, à son paragraphe 1 :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »

17

L’article 52 de ce règlement, intitulé « Indépendance », dispose, à ses paragraphes 1, 2 et 4 :

« 1.   Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement.

2.   Dans l’exercice de leurs missions et de leurs pouvoirs conformément au présent règlement, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.

[...]

4.   Chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources humaines, techniques et financières ainsi que des locaux et de l’infrastructure nécessaires à l’exercice effectif de ses missions et de ses pouvoirs, y compris lorsque celle-ci doit agir dans le cadre de l’assistance mutuelle, de la coopération et de la participation au comité. »

18

L’article 57 dudit règlement, intitulé « Missions », énonce, à son paragraphe 1 :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

a)

contrôle l’application du présent règlement et veille au respect de celui-ci ;

[...]

f)

traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ;

[...] »

19

L’article 58 du RGPD, intitulé « Pouvoirs », énumère, à son paragraphe 1, les pouvoirs d’enquête dont chaque autorité de contrôle dispose et, à son paragraphe 2, les mesures correctrices que celle-ci peut adopter.

20

L’article 77 de ce règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », énonce :

« 1.   Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2.   L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

21

L’article 78 dudit règlement, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », dispose, à ses paragraphes 1 et 2 :

« 1.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2.   Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77. »

22

L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », prévoit, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

Le droit allemand

23

Aux termes de l’article 9, paragraphe 1, de l’Insolvenzordnung (code de l’insolvabilité), du 5 octobre 1994 (BGBl. 1994 I, p. 2866), dans sa version applicable aux faits au principal :

« La publication officielle est effectuée au moyen d’une publication centrale faite dans l’ensemble des Länder sur Internet ; elle peut être faite par extraits. Le débiteur doit être identifié avec précision ; son adresse et son secteur d’activité doivent en particulier être indiqués. La publication est réputée effectuée faite dès que deux jours supplémentaires se sont écoulés après le jour de la publication. »

24

L’article 3 de la Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (règlement relatif aux publications officielles diffusées par Internet dans le cadre des procédures d’insolvabilité), du 12 février 2002 (BGBl. I, p. 677, ci-après l’« InsoBekV »), énonce, à ses paragraphes 1 et 2 :

« (1)   La publication, dans un système électronique d’information et de communication, de données relatives à une procédure d’insolvabilité, y compris la procédure d’ouverture, est supprimée au plus tard six mois après que la procédure d’insolvabilité a été annulée ou que la suspension de celle-ci est devenue définitive. Si la procédure n’est pas ouverte, ce délai commence à courir à compter de l’annulation des mesures conservatoires publiées.

(2)   Le paragraphe (1), première phrase, s’applique aux publications faites dans le cadre d’une procédure de libération de reliquat de dette, y compris l’ordonnance visée à l’article 289 du code de l’insolvabilité, étant entendu que le délai en cause commence à courir lorsque la décision relative à la libération de reliquat de dette est devenue définitive. »

Les litiges au principal et les questions préjudicielles

25

Dans le cadre de procédures d’insolvabilité les concernant, UF et AB ont bénéficié de décisions judiciaires de libération anticipée de reliquat de dette, rendues respectivement le 17 décembre 2020 et le 23 mars 2021. Conformément à l’article 9, paragraphe 1, de l’Insolvenzordnung ainsi qu’à l’article 3, paragraphes 1 et 2, de l’InsoBekV, la publication officielle faite sur Internet de ces décisions a été supprimée à l’issue d’un délai de six mois à compter desdites décisions.

26

SCHUFA est une société privée fournissant des informations commerciales qui enregistre et conserve, dans ses propres bases de données, des informations provenant de registres publics, notamment celles relatives à des libérations de reliquat de dette. Elle procède à la suppression de ces dernières informations à l’issue d’un délai de trois ans après l’enregistrement, conformément au code de conduite élaboré, en Allemagne, par l’association regroupant les sociétés fournissant des informations commerciales et approuvé par l’autorité de contrôle compétente.

27

UF et AB se sont adressés à SCHUFA pour obtenir de celle-ci l’effacement des inscriptions relatives aux décisions de libération de reliquat de dette dont ils avaient fait l’objet. Cette société a refusé d’accéder à leurs demandes, après avoir expliqué que son activité avait lieu dans le respect du RGPD et que le délai d’effacement de six mois prévu à l’article 3, paragraphe 1, de l’InsoBekV ne s’appliquait pas à elle.

28

UF et AB ont chacun introduit une réclamation auprès du HBDI en tant qu’autorité de contrôle compétente.

29

Par des décisions rendues respectivement le 1er mars 2021 et le 9 juillet 2021, le HBDI a considéré que le traitement des données effectué par SCHUFA était licite.

30

UF et AB ont chacun formé un recours contre la décision du HBDI devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), la juridiction de renvoi. Au soutien de ces recours, ils ont fait valoir que le HBDI était tenu, dans le cadre de ses missions et de ses pouvoirs, d’adopter des mesures contre SCHUFA afin de lui imposer de procéder à l’effacement des inscriptions les concernant.

31

En défense, le HBDI a conclu au rejet des recours.

32

D’une part, le HBDI a soutenu que le droit d’introduire une réclamation, prévu à l’article 77, paragraphe 1, du RGPD, est conçu seulement comme un droit de pétition. Ainsi, le contrôle juridictionnel se limiterait à vérifier que l’autorité de contrôle a traité la réclamation et a informé son auteur de l’état d’avancement et de l’issue de cette réclamation. En revanche, il n’appartiendrait pas au juge saisi de contrôler l’exactitude sur le fond de la décision rendue sur réclamation.

33

D’autre part, le HBDI a souligné que les données auxquelles les sociétés fournissant des informations commerciales ont accès peuvent être conservées aussi longtemps que cela est nécessaire aux fins desquelles elles ont été conservées. En l’absence de réglementation prévue par le législateur national, des codes de conduite auraient été adoptés par les autorités de contrôle, et celui élaboré par l’association regroupant les sociétés fournissant des informations commerciales prévoirait la suppression de ces données trois ans exactement après l’inscription dans le fichier.

34

À cet égard, en premier lieu, la juridiction de renvoi estime nécessaire de clarifier la nature juridique de la décision que l’autorité de contrôle prend après avoir été saisie d’une réclamation au titre de l’article 77, paragraphe 1, du RGPD.

35

En particulier, cette juridiction nourrit des doutes quant à l’argumentation du HBDI, dès lors qu’elle reviendrait à nuire à l’effectivité du recours juridictionnel visé à l’article 78, paragraphe 1, du RGPD. En outre, au vu de l’objectif de ce règlement, consistant, dans le cadre de la mise en œuvre des articles 7 et 8 de la Charte, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques, les articles 77 et 78 dudit règlement ne sauraient recevoir une interprétation restrictive.

36

Ladite juridiction préconise une interprétation selon laquelle la décision prise sur le fond par l’autorité de contrôle doit être soumise à un contrôle entier du juge. Cette autorité disposerait toutefois tant d’un pouvoir d’appréciation que d’un pouvoir discrétionnaire et ne pourrait être tenue d’agir que lorsque des options licites ne peuvent être identifiées.

37

En second lieu, la juridiction de renvoi s’interroge, à un double égard, sur la licéité de la conservation, par des sociétés fournissant des informations commerciales, de données relatives à la solvabilité d’une personne provenant de registres publics, tel le registre d’insolvabilité.

38

Premièrement, il existerait des doutes quant à la licéité de la conservation par une société privée telle que SCHUFA, dans ses propres bases de données, des données transférées depuis des registres publics.

39

En effet, tout d’abord, cette conservation interviendrait non pas à l’occasion d’un cas concret mais dans l’éventualité où leurs partenaires contractuels leur demanderaient de telles informations et donnerait lieu, en fin de compte, à une mise en réserve de ces données, surtout lorsque celles-ci ont déjà été supprimées du registre public en raison de l’expiration du délai de conservation.

40

Par ailleurs, un traitement et donc une conservation de données ne seraient autorisés que si l’une des conditions prévues à l’article 6, paragraphe 1, du RGPD est remplie. En l’occurrence, seule la condition visée à l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement entrerait en ligne de compte. Or, il serait douteux qu’une société fournissant des informations commerciales telle que SCHUFA poursuive un intérêt légitime au sens de cette disposition.

41

Enfin, SCHUFA ne serait qu’une société fournissant des informations commerciales parmi d’autres, de sorte que les données seraient conservées en Allemagne sous des formes multiples, ce qui impliquerait une atteinte massive au droit fondamental consacré à l’article 7 de la Charte.

42

Deuxièmement, à supposer même que la conservation par des sociétés privées de données issues de registres publics soit licite en tant que telle, la question se poserait de la durée possible d’une telle conservation.

43

À cet égard, la juridiction de renvoi est d’avis qu’il conviendrait d’exiger de ces sociétés privées de respecter le délai de six mois prévu à l’article 3 de l’InsoBekV relatif à la conservation dans le registre d’insolvabilité des décisions de libération de reliquat de dette. Ainsi, les données qui doivent être supprimées d’un registre public devraient aussi être supprimées concomitamment auprès de toutes les sociétés privées fournissant des informations commerciales qui ont conservé ces données.

44

Au demeurant, la question se poserait de savoir si un code de conduite approuvé conformément à l’article 40 du RGPD, qui prévoit un délai d’effacement de trois ans pour l’inscription relative à la libération de reliquat de dette, doit être pris en compte lors de la mise en balance devant être effectuée dans le cadre de l’appréciation au titre de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD.

45

Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

L’article 77, paragraphe 1, lu en combinaison avec l’article 78, paragraphe 1, du [RGPD] doit-il être compris en ce sens que la conclusion de l’autorité de contrôle qui est communiquée par cette autorité à la personne concernée

revêt le caractère d’une prise de décision sur une pétition, avec la conséquence que le contrôle juridictionnel exercé sur la décision sur réclamation adoptée par une autorité de contrôle au titre de l’article 78, paragraphe 1, de ce règlement est en principe limité à la question de savoir si cette autorité a traité la réclamation, enquêté de manière appropriée sur l’objet de celle-ci et informé le réclamant de la conclusion de l’examen

ou

doit être comprise comme une décision sur le fond adoptée par une autorité, avec pour conséquence que, dans le cadre du contrôle juridictionnel exercé sur une décision sur réclamation adoptée par une autorité de contrôle au titre de l’article 78, paragraphe 1, dudit règlement, la décision sur le fond doit faire l’objet d’un contrôle entier par le juge, sachant que, dans des cas particuliers, par exemple en cas de réduction à zéro du pouvoir discrétionnaire, le juge peut également imposer à l’autorité de contrôle de prendre une mesure concrète au sens de l’article 58 du même règlement ?

2)

La conservation de données auprès d’une société privée fournissant des informations commerciales, conservation dans le cadre de laquelle des données à caractère personnel provenant d’un registre public tel que les “bases de données nationales” au sens de l’article 79, paragraphes 4 et 5, du règlement [2015/848] sont conservées non pas à l’occasion d’un cas concret, mais afin de pouvoir fournir des renseignements en cas de demande, est-elle compatible avec les articles 7 et 8 de la [Charte] ?

3)

a)

Les bases de données parallèles privées (en particulier les bases de données tenues par une société fournissant des informations commerciales) qui sont créées à côté des bases de données étatiques et dans lesquelles les données provenant de ces dernières (en l’espèce, des publications en matière d’insolvabilité) sont conservées plus longtemps que ce qui est prévu dans le cadre strict du règlement 2015/848, lu en combinaison avec le droit national, sont-elles en principe licites ?

b)

Si la troisième question, sous a), appelle une réponse affirmative, résulte-t-il du droit à l’oubli prévu à l’article 17, paragraphe 1, sous d), du [RGPD] que ces données doivent être supprimées lorsque la durée de traitement prévue pour le registre public a expiré ?

4)

Dans la mesure où l’article 6, paragraphe 1, premier alinéa, sous f), du [RGPD] peut être considéré comme la seule base juridique de la conservation de données par les sociétés privées fournissant des informations commerciales, et ce également en ce qui concerne les données conservées dans les registres publics, convient-il de retenir qu’une telle société possède déjà un intérêt légitime lorsqu’elle reprend les données provenant du registre public non pas à une occasion concrète, mais afin que ces données soient ensuite disponibles en cas de demande de renseignements ?

5)

Les codes de conduite qui ont été approuvés par les autorités de contrôle conformément à l’article 40 du [RGPD] et qui prévoient des délais de contrôle et d’effacement qui vont au-delà des délais de conservation prévus pour les registres publics peuvent-ils suspendre la mise en balance prévue à l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement ? »

46

Par décision du président de la Cour du 11 février 2022, les affaires C‑26/22 et C‑64/22 ont été jointes aux fins des phases écrites et orales de la procédure ainsi que de l’arrêt.

Sur les questions préjudicielles

Sur la première question

47

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 78, paragraphe 1, du RGPD doit être interprété en ce sens que le contrôle juridictionnel exercé sur une décision sur réclamation adoptée par une autorité de contrôle se limite à la question de savoir si cette autorité a traité la réclamation, enquêté de manière appropriée sur l’objet de celle-ci et informé le réclamant de la conclusion de l’examen, ou si cette décision est soumise à un contrôle juridictionnel entier, incluant le pouvoir du juge saisi d’imposer à l’autorité de contrôle de prendre une mesure concrète.

48

Aux fins de répondre à cette question, il convient de rappeler, à titre liminaire, que l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 22 juin 2023, Pankki S, C‑579/21, EU:C:2023:501, point 38 et jurisprudence citée).

49

S’agissant des termes de l’article 78, paragraphe 1, du RGPD, cette disposition prévoit que, sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

50

À cet égard, il convient de relever d’emblée que, en l’occurrence, les décisions adoptées par le HBDI constituent des décisions juridiquement contraignantes, au sens de cet article 78, paragraphe 1. En effet, après avoir examiné le bien-fondé des réclamations dont elle avait été saisie, cette autorité a constaté que le traitement des données à caractère personnel contesté par les requérants au principal était licite en vertu du RGPD. Le caractère juridiquement contraignant de ces décisions est, du reste, confirmé par le considérant 143 de ce règlement, selon lequel le refus ou le rejet d’une réclamation par une autorité de contrôle constitue une décision produisant des effets juridiques à l’égard de l’auteur de cette réclamation.

51

Il convient également de relever qu’il ressort explicitement de cette disposition, lue à la lumière du considérant 141 de ce règlement, que toute personne concernée a le droit à un recours juridictionnel « effectif », conformément à l’article 47 de la Charte.

52

Ainsi, la Cour a déjà jugé qu’il découle de l’article 78, paragraphe 1, du RGPD, lu à la lumière du considérant 143 de ce règlement, que les juridictions saisies d’un recours contre une décision d’une autorité de contrôle devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 41).

53

Dès lors, l’article 78, paragraphe 1, du RGPD ne saurait être interprété en ce sens que le contrôle juridictionnel exercé sur une décision sur réclamation adoptée par une autorité de contrôle se limiterait à la question de savoir si cette autorité a traité la réclamation, enquêté de manière appropriée sur l’objet de celle-ci et informé le réclamant de la conclusion de l’examen. Au contraire, pour qu’un recours juridictionnel soit « effectif », ainsi que l’exige cette disposition, une telle décision doit être soumise à un contrôle juridictionnel entier.

54

Cette interprétation est corroborée par le contexte dans lequel s’inscrit l’article 78, paragraphe 1, du RGPD ainsi que par les objectifs et la finalité que poursuit ce règlement.

55

En ce qui concerne le contexte entourant cette disposition, il importe de relever que, conformément à l’article 8, paragraphe 3, de la Charte ainsi qu’à l’article 51, paragraphe 1, et à l’article 57, paragraphe 1, sous a), du RGPD, les autorités nationales de contrôle sont chargées de contrôler le respect des règles de l’Union relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 107).

56

En particulier, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 109).

57

Aux fins de traiter les réclamations introduites, l’article 58, paragraphe 1, du RGPD investit chaque autorité de contrôle d’importants pouvoirs d’enquête. Lorsqu’une telle autorité constate, à l’issue de son enquête, une violation des dispositions de ce règlement, elle est tenue de réagir de manière appropriée afin de remédier à l’insuffisance constatée. À cet effet, l’article 58, paragraphe 2, dudit règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 111).

58

Il s’ensuit, ainsi que M. l’avocat général l’a relevé au point 42 de ses conclusions, que la procédure de réclamation, qui ne s’apparente pas à celle d’une pétition, est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées.

59

Or, eu égard aux pouvoirs étendus dont l’autorité de contrôle est investie en vertu du RGPD, il ne serait pas satisfait à l’exigence d’une protection juridictionnelle effective si les décisions concernant l’exercice, par une telle autorité de contrôle, de pouvoirs d’enquête ou d’adoption de mesures correctrices n’étaient soumises qu’à un contrôle juridictionnel restreint.

60

Il en va de même des décisions portant rejet d’une réclamation, l’article 78, paragraphe 1, du RGPD ne faisant pas de distinction selon la nature de la décision adoptée par l’autorité de contrôle.

61

En ce qui concerne les objectifs poursuivis par le RGPD, il ressort notamment du considérant 10 de ce dernier que celui-ci vise à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union. Le considérant 11 de ce règlement énonce, en outre, qu’une protection effective de ces données exige de renforcer les droits des personnes concernées.

62

Or, si l’article 78, paragraphe 1, dudit règlement devait être interprété en ce sens que le contrôle juridictionnel qu’il vise se limite à vérifier si l’autorité de contrôle a traité la réclamation, enquêté de manière appropriée sur l’objet de celle-ci et informé le réclamant de la conclusion de l’examen, la réalisation des objectifs et la poursuite de la finalité du même règlement s’en trouveraient nécessairement compromises.

63

Par ailleurs, l’interprétation de cette disposition selon laquelle une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier ne remet pas en cause les garanties d’indépendance dont bénéficient les autorités de contrôle ni le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant.

64

En premier lieu, il est vrai que, conformément à l’article 8, paragraphe 3, de la Charte, le respect des règles en matière de protection des données à caractère personnel est soumis au contrôle d’une autorité indépendante. Dans ce contexte, l’article 52 du RGPD précise, notamment, que chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément à ce règlement (paragraphe 1), que, dans l’exercice de leurs missions et de leurs pouvoirs, le ou les membres de chaque autorité de contrôle demeurent libres de toute influence extérieure (paragraphe 2), et que chaque État membre veille à ce que chaque autorité de contrôle dispose des ressources nécessaires à l’exercice effectif de ses missions et de ses pouvoirs (paragraphe 4).

65

Toutefois, ces garanties d’indépendance ne sont nullement compromises par le fait que les décisions juridiquement contraignantes d’une autorité de contrôle sont soumises à un contrôle juridictionnel entier.

66

En second lieu, s’agissant du droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant, prévu à l’article 79, paragraphe 1, du RGPD, il y a lieu de relever que, selon la jurisprudence de la Cour, les recours prévus respectivement à l’article 78, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement peuvent être exercés de manière concurrente et indépendante (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 35 et dispositif). Dans ce contexte, la Cour a notamment considéré que la mise à disposition de plusieurs voies de recours renforce l’objectif énoncé au considérant 141 dudit règlement de garantir à toute personne concernée estimant que les droits que lui confère ce même règlement sont violés de disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 44).

67

Dès lors, et alors même qu’il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation de ces voies de recours (arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C‑132/21, EU:C:2023:2, point 45 et dispositif), l’existence du droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant, prévu à l’article 79, paragraphe 1, du RGPD, est sans incidence sur l’étendue du contrôle juridictionnel exercé, dans le cadre d’un recours formé au titre de l’article 78, paragraphe 1, de ce règlement, sur une décision sur réclamation adoptée par une autorité de contrôle.

68

Il y a cependant lieu d’ajouter que, si, comme il a été rappelé au point 56 du présent arrêt, l’autorité de contrôle doit procéder au traitement d’une réclamation avec toute la diligence requise, cette autorité dispose, s’agissant des mesures correctrices énumérées à l’article 58, paragraphe 2, du RGPD, d’une marge d’appréciation quant au choix des moyens appropriés et nécessaires (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 112).

69

Or, si le juge national saisi d’un recours au titre de l’article 78, paragraphe 1, du RGPD doit, ainsi qu’il a été constaté au point 52 du présent arrêt, disposer d’une pleine compétence pour examiner toutes les questions de fait et de droit relatives au litige concerné, la garantie d’une protection juridictionnelle effective n’implique pas qu’il soit habilité à substituer son appréciation du choix des mesures correctrices appropriées et nécessaires à celle de cette autorité, mais exige que ce juge examine si l’autorité de contrôle a respecté les limites de son pouvoir d’appréciation.

70

Compte tenu de l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que l’article 78, paragraphe 1, du RGPD doit être interprété en ce sens qu’une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier.

Sur les deuxième à cinquième questions

71

Par ses deuxième à cinquième questions, qu’il convient d’examiner conjointement, la juridiction de renvoi demande, en substance,

si l’article 5, paragraphe 1, sous a) du RGPD, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu’il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques, et à supprimer ces informations au terme d’une période de trois ans, conformément à un code de conduite au sens de l’article 40 de ce même règlement, alors que la durée de conservation desdites informations dans le registre public est de six mois, et,

si l’article 17, paragraphe 1, sous c) et d), du RGPD doit être interprété en ce sens qu’une société privée fournissant des informations commerciales ayant repris des informations relatives à l’octroi d’une libération de reliquat d’un registre public est tenue de supprimer celles-ci.

Sur l’article 5, paragraphe 1, sous a), du RGPD

72

Selon les termes de l’article 5, paragraphe 1, sous a), du RGPD, les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée.

73

Dans ce contexte, l’article 6, paragraphe 1, premier alinéa, de ce règlement prévoit une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme licite. Ainsi, pour qu’il puisse être considéré comme légitime, un traitement doit relever de l’un des cas prévus à cette disposition [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 90 ainsi que jurisprudence citée].

74

En l’occurrence, il est constant que la licéité du traitement de données à caractère personnel en cause au principal doit être appréciée à la seule lumière de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD. Aux termes de cette disposition, le traitement de données à caractère personnel n’est licite que si, et dans la mesure où, ce traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et les droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

75

Ainsi, ladite disposition prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par un tiers, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 106 ainsi que jurisprudence citée].

76

S’agissant, premièrement, de la condition relative à la poursuite d’un « intérêt légitime », en l’absence de définition de cette notion par le RGPD, il convient de souligner, ainsi que l’a relevé M. l’avocat général au point 61 de ses conclusions, qu’un large éventail d’intérêts est, en principe, susceptible d’être considéré comme étant légitime.

77

En ce qui concerne, deuxièmement, la condition relative à la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi, celle-ci impose à la juridiction de renvoi de vérifier que l’intérêt légitime du traitement des données poursuivi ne peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux libertés et aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis par les articles 7 et 8 de la Charte [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 108 ainsi que jurisprudence citée].

78

Dans ce contexte, il y a également lieu de rappeler que la condition tenant à la nécessité du traitement doit être examinée conjointement avec le principe dit de la « minimisation des données » consacré à l’article 5, paragraphe 1, sous c), du RGPD, selon lequel les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 109 ainsi que jurisprudence citée].

79

Pour ce qui est, troisièmement, de la condition que les intérêts ou les libertés et les droits fondamentaux de la personne concernée par la protection des données ne prévalent pas sur l’intérêt légitime du responsable du traitement ou d’un tiers, la Cour a déjà jugé que celle-ci implique une pondération des droits et des intérêts opposés en cause qui dépend, en principe, des circonstances concrètes du cas particulier et que, par conséquent, il revient à la juridiction de renvoi d’effectuer cette pondération en tenant compte de ces circonstances spécifiques [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 110 ainsi que jurisprudence citée].

80

En outre, ainsi qu’il ressort du considérant 47 du RGPD, les intérêts et les droits fondamentaux de la personne concernée peuvent, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un tel traitement [arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 112].

81

S’il appartient donc, en définitive, à la juridiction de renvoi d’apprécier si, s’agissant du traitement de données à caractère personnel en cause au principal, les trois conditions rappelées au point 75 du présent arrêt sont remplies, il est loisible à la Cour, statuant sur renvoi préjudiciel, d’apporter des précisions visant à guider cette juridiction dans cette détermination (voir, en ce sens, arrêt du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, point 39 et jurisprudence citée).

82

En l’occurrence, en ce qui concerne la poursuite d’un intérêt légitime, SCHUFA fait valoir que les sociétés fournissant des informations commerciales traitent des données nécessaires à l’évaluation de la solvabilité de personnes ou d’entreprises, afin de pouvoir mettre ces informations à la disposition de leurs partenaires contractuels. Or, outre que cette activité protégerait les intérêts économiques des entreprises qui souhaitent conclure des contrats liés à un crédit, la détermination de la solvabilité et la fourniture d’informations sur la solvabilité constitueraient le fondement du crédit et de la capacité de fonctionnement de l’économie. L’activité de ces sociétés contribuerait également à concrétiser les souhaits commerciaux des personnes intéressées par des opérations liées au crédit, car les renseignements permettraient un examen rapide et non bureaucratique de ces opérations.

83

À cet égard, si le traitement de données à caractère personnel tel que celui en cause au principal sert les intérêts économiques de SCHUFA, ce traitement sert également à poursuivre l’intérêt légitime des partenaires contractuels de SCHUFA, qui envisagent de conclure des contrats liés à un crédit avec des personnes, à pouvoir évaluer la solvabilité de ces dernières, et donc les intérêts du secteur de crédit sur un plan socio-économique.

84

En effet, s’agissant des contrats de crédit aux consommateurs, il ressort de l’article 8 de la directive 2008/48, lu à la lumière du considérant 28 de celle-ci, que, avant de conclure le contrat de crédit, le prêteur est tenu d’évaluer la solvabilité du consommateur à partir d’un nombre suffisant d’informations, y compris, le cas échéant, d’informations provenant de bases de données publiques et privées.

85

En outre, en ce qui concerne les contrats de crédit aux consommateurs relatifs aux biens immobiliers à usage résidentiel, il ressort de l’article 18, paragraphe 1, et de l’article 21, paragraphe 1, de la directive 2014/17, lus à la lumière des considérants 55 et 59 de celle-ci, que le prêteur doit procéder à une évaluation rigoureuse de la solvabilité du consommateur et qu’il dispose d’un accès aux bases de données sur le crédit, la consultation de telles bases de données étant un élément utile aux fins de cette évaluation.

86

Il convient d’ajouter que l’obligation d’évaluer la solvabilité des consommateurs, telle que prévue par les directives 2008/48 et 2014/17, vise non pas seulement à protéger le demandeur de crédit, mais également, ainsi qu’il est souligné au considérant 26 de la directive 2008/48, à garantir le bon fonctionnement du système de crédit dans son ensemble.

87

Encore faut-il toutefois que le traitement de données soit nécessaire à la réalisation des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers et que les intérêts ou les libertés et les droits fondamentaux de la personne concernée ne prévalent pas sur ceux-ci. Dans le cadre de cette pondération des droits et des intérêts opposés en cause, à savoir ceux du responsable du traitement et des tiers impliqués, d’une part, et ceux de la personne concernée, d’autre part, il importe de tenir compte, ainsi qu’il a été relevé au point 80 du présent arrêt, notamment des attentes raisonnables de la personne concernée ainsi que de l’étendue du traitement en cause et de l’impact de celui-ci sur cette personne [voir arrêt du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 116].

88

S’agissant de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, la Cour a jugé que cette disposition doit être interprétée en ce sens qu’un traitement ne peut être considéré comme étant nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, au sens de cette disposition, que si ce traitement est opéré dans les limites du strict nécessaire pour la réalisation de cet intérêt légitime et s’il ressort d’une pondération des intérêts opposés, au regard de l’ensemble des circonstances pertinentes, que les intérêts ou les libertés et les droits fondamentaux des personnes concernées par le traitement en cause ne prévalent pas sur ledit intérêt légitime du responsable du traitement ou d’un tiers [voir, en ce sens, arrêts du 4 mai 2017, Rīgas satiksme, C‑13/16, EU:C:2017:336, point 30, ainsi que du 4 juillet 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C‑252/21, EU:C:2023:537, point 126].

89

Dans ce contexte, la juridiction de renvoi fait référence à deux aspects du traitement de données à caractère personnel en cause au principal. En premier lieu, ce traitement impliquerait une conservation multiforme des données, à savoir non seulement dans un registre public mais également dans les bases de données des sociétés fournissant des informations commerciales, étant précisé que ces sociétés procéderaient à cette conservation non pas à l’occasion d’un cas concret mais dans l’éventualité où leurs partenaires contractuels leur demanderaient de telles informations. En second lieu, lesdites sociétés conserveraient ces données pendant trois ans, et ce sur la base d’un code de conduite au sens de l’article 40 du RGPD, alors que la législation nationale prévoirait, s’agissant du registre public, une durée de conservation de seulement six mois.

90

Pour ce qui est du premier de ces aspects, SCHUFA fait valoir qu’il serait impossible de fournir des renseignements en temps utile si une société fournissant des informations commerciales était tenue d’attendre une demande concrète avant de pouvoir commencer à collecter des données.

91

À cet égard, il incombe à la juridiction de renvoi de vérifier si la conservation des données en cause par SCHUFA dans ses propres bases de données est limitée au strict nécessaire s’agissant de la réalisation de l’intérêt légitimement poursuivi, alors que les données en cause peuvent être consultées dans le registre public et sans qu’une entreprise commerciale ait demandé des renseignements dans un cas concret. Si tel n’était pas le cas, la conservation de ces données par SCHUFA ne pourrait être considérée comme nécessaire pendant la période de mise à disposition du public desdites données.

92

En ce qui concerne la durée de conservation des données, il convient de considérer que les examens des deuxième et troisième conditions rappelées au point 75 du présent arrêt se confondent dans la mesure où l’appréciation du point de savoir si, en l’occurrence, les intérêts légitimes poursuivis par le traitement de données à caractère personnel en cause au principal ne peuvent raisonnablement être atteints par une durée de conservation plus courte des données requiert une pondération des droits et des intérêts opposés en cause.

93

S’agissant de la pondération des intérêts légitimes poursuivis, il y a lieu de relever que, dans la mesure où l’analyse apportée par une société fournissant des informations commerciales rend possible l’évaluation objective et fiable de la solvabilité des clients potentiels des partenaires contractuels de la société fournissant ces informations commerciales, elle permet de compenser des disparités d’information et donc de réduire les risques de fraude ainsi que d’autres incertitudes.

94

S’agissant, en revanche, des droits et des intérêts de la personne concernée, le traitement de données relatives à l’octroi d’une libération de reliquat de dette, par une société fournissant des informations commerciales, telles que la conservation, l’analyse et la communication de ces données à un tiers, constitue une ingérence grave dans les droits fondamentaux de la personne concernée, consacrés aux articles 7 et 8 de la Charte. En effet, de telles données servent comme un facteur négatif lors de l’évaluation de la solvabilité de la personne concernée et constituent donc des informations sensibles sur sa vie privée (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 98). Leur traitement est susceptible de nuire considérablement aux intérêts de la personne concernée dès lors que cette communication est de nature à compliquer sensiblement l’exercice de ses libertés, notamment lorsqu’il s’agit de couvrir des besoins de base.

95

En outre, comme l’a relevé la Commission, plus la conservation des données en cause par des sociétés fournissant des informations commerciales est longue, plus les conséquences sur les intérêts et sur la vie privée de la personne concernée sont importantes et plus les exigences relatives à la licéité de la conservation de cette information sont élevées.

96

Il convient par ailleurs de relever que, ainsi qu’il ressort du considérant 76 du règlement 2015/848, l’objectif d’un registre public d’insolvabilité est d’améliorer la communication d’informations aux créanciers ainsi qu’aux juridictions concernés. Dans ce contexte, l’article 79, paragraphe 5, de ce règlement se limite à prévoir que les États membres informent les personnes concernées de la période durant laquelle les données à caractère personnel stockées dans les registres d’insolvabilité sont accessibles, sans déterminer un délai pour la conservation desdites données. En revanche, il ressort de l’article 79, paragraphe 4, de ce règlement que les États membres sont responsables, conformément à celui-ci, de la collecte et du stockage des données à caractère personnels dans les bases de données nationales. Le délai de conservation de ces données doit alors être fixé dans le respect dudit règlement.

97

En l’occurrence, le législateur allemand prévoit que l’information relative à l’octroi d’une libération de reliquat de dette n’est conservée dans le registre d’insolvabilité que pendant six mois. Il considère donc que, après l’expiration d’un délai de six mois, les droits et les intérêts de la personne concernée prévalent sur ceux du public à disposer de cette information.

98

En outre, comme l’a relevé M. l’avocat général au point 75 de ses conclusions, la libération de reliquat de dette est censée permettre à la personne qui en bénéficie de participer de nouveau à la vie économique et revêt, dès lors, généralement une importance existentielle pour cette personne. Or, la réalisation de cet objectif serait compromise si des sociétés fournissant des informations commerciales pouvaient, aux fins d’évaluer la situation économique d’une personne, conserver des données relatives à une libération de reliquat de dette et utiliser de telles données après qu’elles ont été effacées du registre public d’insolvabilité, dans la mesure où lesdites données sont toujours utilisées comme un facteur négatif lors de l’évaluation de la solvabilité d’une telle personne.

99

Dans ces conditions, les intérêts du secteur de crédit à disposer des informations sur une libération de reliquat de dette ne sauraient justifier un traitement des données à caractère personnel tel que celui en cause au principal au-delà du délai de conservation des données dans le registre public d’insolvabilité, de sorte que la conservation de ces données par une société fournissant des informations commerciales ne saurait être fondée sur l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD en ce qui concerne la période suivant l’effacement desdites données d’un registre public d’insolvabilité.

100

S’agissant de la période de six mois au cours de laquelle les données en cause sont également disponibles dans ce registre public, il convient de relever que, si les incidences d’une conservation en parallèle de ces données dans des bases de données de telles sociétés peuvent être considérées comme moins graves qu’après l’écoulement des six mois, cette conservation constitue néanmoins une ingérence dans les droits consacrés aux articles 7 et 8 de la Charte. À cet égard, la Cour a déjà jugé que la présence des mêmes données à caractère personnel dans plusieurs sources renforce l’ingérence dans le droit de la personne à la vie privée (voir arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, points 86 et 87). Il appartient à la juridiction de renvoi de mettre en balance les intérêts en cause et les incidences sur la personne concernée, afin d’établir si la conservation parallèle de ces données par des sociétés privées fournissant des informations commerciales peut être considérée comme étant limitée au strict nécessaire, ainsi que l’exige la jurisprudence de la Cour citée au point 88 du présent arrêt.

101

Enfin, en ce qui concerne l’existence, comme en l’occurrence, d’un code de conduite prévoyant qu’une société fournissant des informations commerciales doit supprimer les données relatives à une libération de reliquat de dette à l’issue d’un délai de trois ans, il convient de rappeler que, conformément à l’article 40, paragraphes 1 et 2, du RGPD, les codes de conduite sont destinés à contribuer à la bonne application de ce règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises. Ainsi, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application dudit règlement, telles que le traitement loyal et transparent, les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques et la collecte des données à caractère personnel.

102

En outre, en vertu de l’article 40, paragraphe 5, du RGPD, un projet de code est soumis à l’autorité de contrôle compétente, qui approuve celui-ci si elle estime qu’il offre des garanties appropriées suffisantes.

103

En l’occurrence, le code de conduite en cause au principal a été élaboré par l’association regroupant les sociétés allemandes fournissant des informations commerciales et approuvé par l’autorité de contrôle compétente.

104

Cela étant, si, conformément à l’article 40, paragraphes 1 et 2, du RGPD, un code de conduite est destiné à contribuer à la bonne application de ce règlement et à en préciser les modalités d’application, il n’en demeure pas moins, comme l’a relevé M. l’avocat général aux points 103 et 104 de ses conclusions, que les conditions de licéité d’un traitement de données à caractère personnel fixées par un tel code ne sauraient différer des conditions prévues à l’article 6, paragraphe 1, du RGPD.

105

Ainsi, un code de conduite qui aboutit à une appréciation différente de celle qui est obtenue en application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD ne saurait être pris en considération dans la mise en balance effectuée en vertu de cette disposition.

Sur l’article 17 du RGPD

106

Enfin, la juridiction de renvoi s’interroge, en substance, sur les obligations incombant à une société fournissant des informations commerciales au titre de l’article 17 du RGPD.

107

À cet égard, il convient de rappeler que, conformément à l’article 17, paragraphe 1, sous d), du RGPD, auquel se réfère la juridiction de renvoi, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque les données à caractère personnel ont fait l’objet d’un traitement illicite.

108

Dès lors, selon le libellé clair de cette disposition, dans l’hypothèse où la juridiction de renvoi devrait conclure, au terme de son appréciation sur la licéité du traitement de données à caractère personnel en cause au principal, que ce traitement n’est pas licite, il incomberait au responsable du traitement, en l’occurrence SCHUFA, d’effacer les données concernées dans les meilleurs délais. Tel serait le cas, conformément à ce qui a été constaté au point 99 du présent arrêt, pour un traitement des données à caractère personnel effectué au-delà du délai de conservation des données de six mois dans le registre public d’insolvabilité.

109

S’agissant du traitement intervenant pendant la période de six mois au cours de laquelle les données sont disponibles dans le registre public d’insolvabilité, dans l’hypothèse où la juridiction de renvoi devrait conclure que le traitement était conforme à l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, l’article 17, paragraphe 1, sous c), de ce règlement trouverait à s’appliquer.

110

Cette disposition prévoit le droit à l’effacement des données à caractère personnel lorsque la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, du RGPD et qu’il n’existe pas de « motif légitime impérieux pour le traitement ». En vertu de cette dernière disposition, la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, premier alinéa, sous e) ou f), du RGPD. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

111

Il résulte d’une lecture combinée de ces dispositions, comme l’a relevé M. l’avocat général au point 93 de ses conclusions, que la personne concernée dispose d’un droit de s’opposer au traitement et d’un droit à l’effacement, à moins qu’il n’existe des motifs légitimes impérieux qui prévalent sur les intérêts ainsi que sur les droits et les libertés de cette personne au sens de l’article 21, paragraphe 1, du RGPD, ce qu’il appartient au responsable du traitement de démontrer.

112

Partant, si le responsable du traitement reste en défaut d’apporter une telle démonstration, la personne concernée est en droit de demander l’effacement de ces données sur le fondement de l’article 17, paragraphe 1, sous c), du RGPD, lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement. Il appartient à la juridiction de renvoi d’examiner s’il existe, à titre exceptionnel, des motifs légitimes impérieux de nature à justifier le traitement en cause.

113

Compte tenu de l’ensemble des considérations qui précèdent, il y a lieu de répondre aux deuxième à cinquième questions de la manière suivante :

l’article 5, paragraphe 1, sous a), du RGPD, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement, doit être interprété en ce sens qu’il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public ;

l’article 17, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement et qu’il n’existe pas de motifs légitimes impérieux de nature à justifier, à titre exceptionnel, le traitement en cause ;

l’article 17, paragraphe 1, sous d), du RGPD doit être interprété en ce sens que le responsable du traitement est tenu d’effacer, dans les meilleurs délais, les données à caractère personnel ayant fait l’objet d’un traitement illicite.

Sur les dépens

114

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

 

Par ces motifs, la Cour (première chambre) dit pour droit :

 

1)

L’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

une décision sur réclamation adoptée par une autorité de contrôle est soumise à un contrôle juridictionnel entier.

 

2)

L’article 5, paragraphe 1, sous a), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement,

doit être interprété en ce sens que :

il s’oppose à une pratique de sociétés privées fournissant des informations commerciales consistant à conserver, dans leurs propres bases de données, des informations provenant d’un registre public relatives à l’octroi d’une libération de reliquat de dette en faveur de personnes physiques afin de pouvoir fournir des renseignements sur la solvabilité de ces personnes, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public.

 

3)

L’article 17, paragraphe 1, sous c), du règlement 2016/679

doit être interprété en ce sens que :

la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement et qu’il n’existe pas de motifs légitimes impérieux de nature à justifier, à titre exceptionnel, le traitement en cause.

 

4)

L’article 17, paragraphe 1, sous d), du règlement 2016/679

doit être interprété en ce sens que :

le responsable du traitement est tenu d’effacer, dans les meilleurs délais, les données à caractère personnel ayant fait l’objet d’un traitement illicite.

 

Signatures


( *1 ) Langue de procédure : l’allemand.