Affaire C‑200/23

Agentsia po vpisvaniyata

contre

OL

(demande de décision préjudicielle, introduite par le Varhoven administrativen sad)

Arrêt de la Cour (première chambre) du 4 octobre 2024

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Publication, dans le registre du commerce, d’un contrat de société contenant des données à caractère personnel – Directive (UE) 2017/1132 – Données à caractère personnel non obligatoires – Absence de consentement de la personne concernée – Droit à l’effacement – Dommage moral »

1. Liberté d’établissement – Sociétés – Directive 2017/1132 – Obligation d’un État membre d’autoriser, dans le registre du commerce, la publicité d’un contrat de société contenant des données à caractère personnel – Publication des données non exigée par le droit national – Absence d’obligation

   (Directive du Parlement européen et du Conseil 2017/1132, art. 21, § 2)

   (voir points 54, 55, 60 et disp. 1)

2. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de responsable du traitement – Notion de destinataire des données – Autorité responsable du registre du commerce d’un État membre, procédant à la publication des données à caractère personnel figurant dans un contrat de société – Inclusion – Contrat contenant des données à caractère personnel non requises ni par la directive 2017/1132 ni par le droit national – Absence d’incidence

   (Règlement du Parlement européen et du Conseil 2016/679, art. 4, points 7 et 9 ; directive du Parlement européen et du Conseil 2017/1132)

   (voir points 66, 72-76, 83 et disp. 2)

3. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Conditions de licéité d’un traitement de données à caractère personnel – Traitement nécessaire au respect d’une obligation légale incombant au responsable du traitement – Publication des données à caractère personnel figurant dans un contrat de société – Données à caractère personnel non requises ni par la directive 2017/1132 ni par le droit national – Exclusion – Qualification de cette publication de traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique – Conditions – Caractère nécessaire du traitement

   [Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, 1er al., c) et e) ; directive du Parlement européen et du Conseil 2017/1132]

   (voir points 94-96, 105-112, 114-116)

4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à l’effacement – Étendue – Traitement illicite de données à caractère personnel – Inclusion – Traitement licite de données à caractère personnel – Traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique – Exclusion – Exception – Existence de motifs légitimes et impérieux pour le traitement prévalant sur les intérêts et les droits et libertés de la personne concernée – Charge de la preuve incombant au responsable du traitement

   [Règlement du Parlement européen et du Conseil 2016/679, art. 6, § 1, e), 17, § 1, c) et d), et 21, § 1)]

   (voir points 118-120)

5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à l’effacement – Obligation d’une autorité nationale responsable du registre du commerce d’un État membre de refuser toute demande d’effacement des données non occultées – Données à caractère personnel non requises ni par la directive 2017/1132 ni par le droit national – Inadmissibilité

   (Règlement du Parlement européen et du Conseil 2016/679, art. 17 ; directive du Parlement européen et du Conseil 2017/1132, art. 16)]

   (voir point 127 et disp. 3)

6. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de données à caractère personnel – Signature manuscrite d’une personne physique – Inclusion

   (Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 1)

   (voir points 131, 133-136 et disp. 4)

7. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Droit à réparation du préjudice subi – Dommage moral – Notion – Perte de contrôle sur des données à caractère personnel – Inclusion – Conditions – Charge de la preuve du dommage moral incombant à la personne concernée – Obligation de démontrer l’existence de conséquences négatives tangibles supplémentaires – Absence

   (Règlement du Parlement européen et du Conseil 2016/679, art. 82, § 1)

   (voir points 140-146, 156 et disp. 5)

8. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Droit à réparation et responsabilité – Responsabilité du responsable du traitement et obligation de réparer le dommage subi par une personne concernée – Exonération – Portée – Émission, par une autorité de contrôle, d’un avis consultatif sur des questions relatives à la protection des données, fourni au responsable du traitement – Non-application de l’exonération de responsabilité d’une autorité nationale ayant la qualité de responsable du traitement

   [Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7, 58, § 3, b), et 82, § 1 à 3]

   (voir points 171, 172, 174, 176 et disp. 6)

Résumé

Saisie à titre préjudiciel par le Varhoven administrativen sad (Cour administrative suprême, Bulgarie), la Cour se prononce sur une série de questions portant, en substance, sur l’articulation entre les dispositions du droit de l’Union européenne en matière de publicité des actes des sociétés ( 1 ) et le RGPD ( 2 ).

OL est associée de « Praven Shtit Konsulting » OOD, une société à responsabilité limitée de droit bulgare inscrite au registre du commerce à la suite de la présentation d’un contrat de société. Ce contrat, rendu public par l’Agentsia po vpisvaniyata (agence chargée des inscriptions aux registres, Bulgarie) (ci-après l’« agence ») tel qu’il avait été présenté, contient plusieurs données à caractère personnel des associés, y compris leurs noms, prénoms, numéros de carte d’identité, adresses et signatures.

En 2021, OL a demandé à l’agence de radier les données personnelles la concernant figurant dans ce contrat. Le refus de cette agence d’y faire droit a fait l’objet de deux recours introduits par OL devant l’Administrativen sad Dobrich (tribunal administratif de Dobrich, Bulgarie). Par un jugement du 5 mai 2022, cette dernière juridiction a condamné l’agence à indemniser OL d’un dommage moral en vertu du RGPD ( 3 ). N’étant pas satisfaite de ce jugement, l’agence a introduit un pourvoi en cassation devant la juridiction de renvoi.

S’interrogeant sur la conciliation qui doit être effectuée entre la réglementation visant le droit à la protection des données à caractère personnel et celle garantissant la publicité et l’accès à certains actes des sociétés, la juridiction de renvoi a saisi la Cour à titre préjudiciel.

Appréciation de la Cour

En premier lieu, concernant la portée de la publicité volontaire des indications, y compris des données à caractère personnel figurant dans les actes des sociétés, la Cour relève que la disposition de la directive 2017/1132 qui vise la publicité volontaire des actes et indications relatifs à la société ( 4 ) ne concerne que leurs traductions sans toutefois se référer à leur contenu. Partant, elle ne saurait être interprétée comme imposant une quelconque obligation relative à la publicité de données dont la publicité n’est exigée ni par d’autres dispositions du droit de l’Union ni par le droit de l’État membre concerné, mais qui figurent dans un acte soumis à la publicité obligatoire prévue par cette directive ( 5 ). Ainsi, cette disposition n’impose pas à un État membre une obligation d’autoriser la publicité, dans le registre du commerce, d’un contrat de société soumis à la publicité obligatoire prévue par cette directive et contenant des données à caractère personnel autres que les données à caractère personnel minimales requises, dont la publication n’est pas exigée par le droit de cet État membre.

En deuxième lieu, la Cour note que l’autorité chargée de la tenue du registre du commerce d’un État membre qui y publie les données à caractère personnel figurant dans un contrat de société soumis à la publicité obligatoire prévue par la directive 2017/1132 et transmis dans le cadre d’une demande d’inscription de la société à ce registre, est tant « destinataire » de ces données que, notamment en ce qu’elle les met à la disposition du public, « responsable du traitement » desdites données ( 6 ), même lorsque ce contrat contient des données non requises par cette directive ou par le droit de cet État membre.

Dans ce contexte, la Cour observe que, en vertu de la directive 2017/1132, il revient aux États membres de déterminer, notamment, quelles catégories d’informations relatives à l’identité des personnes liées aux sociétés, et, en particulier, quels types de données à caractère personnel, font l’objet de publicité obligatoire, dans le respect du droit de l’Union.

La Cour note également que, en transcrivant et en conservant des données à caractère personnel reçues dans le cadre d’une demande d’inscription d’une société au registre du commerce d’un État membre, en communiquant celles-ci, le cas échéant, sur demande à des tiers et en les publiant dans le bulletin national, ou par une mesure d’effet équivalent, l’autorité chargée de la tenue de ce registre effectue des traitements de données à caractère personnel pour lesquels elle est le « responsable du traitement ». En effet, ces traitements de données à caractère personnel sont distincts et postérieurs à la communication des données à caractère personnel effectuée par le demandeur de cette inscription et reçue par cette autorité. De plus, cette dernière y procède seule, conformément aux finalités et aux modalités qui sont fixées par la directive 2017/1132 et par la législation de l’État membre mettant en œuvre cette directive.

En troisième lieu, concernant l’éventuel droit à l’effacement dont disposerait la personne concernée ( 7 ), la Cour procède, dans un premier temps, à l’examen des motifs de licéité dont le traitement de ses données à caractère personnel est susceptible de relever.

D’une part, s’agissant du point de savoir si ce traitement est nécessaire au respect d’une obligation légale découlant du droit de l’Union ou du droit de l’État membre auquel le responsable du traitement est soumis ( 8 ), la Cour relève que la directive 2017/1132 n’impose pas le traitement systématique de toute donnée à caractère personnel contenue dans un acte soumis à la publicité obligatoire prévue par cette directive. Au contraire, tout traitement de données à caractère personnel effectué dans le cadre de cette directive doit pleinement satisfaire aux exigences découlant du RGPD. Ainsi, il incombe aux États membres de veiller à concilier les objectifs de sécurité juridique et de protection des intérêts des tiers, poursuivis par la directive 2017/1132, et les droits consacrés par le RGPD.

Dès lors, il ne saurait être considéré que la mise à la disposition du public, en ligne, dans le registre du commerce, de données à caractère personnel non requises par la directive 2017/1132 ou par la législation nationale en cause au principal figurant dans un contrat de société soumis à la publicité obligatoire prévue par cette directive et transmis à l’agence est justifiée par l’exigence d’assurer la publicité des actes visés par ladite directive et que, partant, elle résulte d’une obligation légale prévue par le droit de l’Union. De plus, la licéité du traitement concerné n’apparaît pas non plus reposer, sous réserve de vérification de la juridiction de renvoi, sur une obligation légale prévue par le droit national.

D’autre part, quant à la nécessité du traitement concerné aux fins de l’exécution d’une mission d’intérêt public ( 9 ), la Cour observe que ce traitement apparaît, certes, réalisé à l’occasion d’une telle mission. Toutefois, il semble aller au-delà de ce qui est nécessaire pour réaliser les objectifs d’intérêt général poursuivis.

À cet égard, la Cour relève que l’exigence de préserver l’intégrité et la fiabilité des actes des sociétés soumis à la publicité obligatoire prévue par la directive 2017/1132, laquelle commanderait la publication de ces actes tels qu’ils ont été transmis aux autorités chargées de la tenue du registre du commerce, ne saurait systématiquement prévaloir sur le droit à la protection des données à caractère personnel, sous peine de rendre sa protection illusoire. En particulier, cette exigence ne saurait imposer le maintien à la disposition du public, en ligne, dans ce registre, de données à caractère personnel non requises par cette directive ou par le droit national, alors que l’agence pourrait établir elle-même une copie expurgée des données non requises de l’acte de la société concernée, prévue par ce droit, en vue de cette mise à disposition.

Dans un second temps, la Cour souligne que, dans l’hypothèse où la juridiction de renvoi devrait conclure, au terme de son appréciation, au caractère illicite du traitement concerné, il incomberait à l’agence, en tant que responsable du traitement, d’effacer les données concernées dans les meilleurs délais.

Toutefois, si cette juridiction concluait que ce traitement est effectivement nécessaire à l’exécution d’une mission d’intérêt public, notamment dans la mesure où la mise à la disposition du public, en ligne, dans le registre du commerce, de données non requises par la directive 2017/1132 ou par la législation nationale était nécessaire pour éviter de retarder l’inscription de la société concernée, dans l’intérêt de la protection des tiers, il conviendrait de procéder à l’examen de l’existence de motifs légitimes impérieux susceptibles de prévaloir sur les intérêts, les droits et les libertés de la personne concernée et de s’opposer à la demande d’effacement ( 10 ).

Ainsi, la Cour constate que la directive 2017/1132 et le RGPD doivent être interprétés en ce sens qu’ils s’opposent à une réglementation ou à une pratique d’un État membre conduisant l’autorité chargée de la tenue du registre du commerce de cet État membre à refuser toute demande d’effacement des données à caractère personnel, non requises par cette directive ou par le droit dudit État membre, figurant dans un contrat de société publié dans ce registre, lorsqu’une copie de ce contrat occultant ces données n’a pas été fournie à cette autorité, contrairement aux modalités procédurales prévues par cette réglementation.

En dernier lieu, se prononçant sur le régime de responsabilité en vertu du RGPD et, plus concrètement, sur l’impact, dans ce cadre, d’un avis émis par l’autorité de contrôle d’un État membre, la Cour souligne que, en vertu du RGPD ( 11 ), l’émission d’un tel avis relève des pouvoirs consultatifs et non pas des pouvoirs d’autorisation de l’autorité de contrôle. De plus, les termes employés indiquent que cet avis n’est pas, en vertu du droit de l’Union, juridiquement contraignant. Ainsi, l’avis concerné ne saurait démontrer, en lui-même, une absence d’imputabilité du dommage dans le propre chef du responsable du traitement ni, partant, suffire à l’exonérer de responsabilité en vertu du RGPD. Par conséquent, un tel avis ne suffit pas à exonérer de responsabilité l’autorité chargée de la tenue du registre du commerce d’un État membre ayant la qualité de responsable du traitement.

( 1 ) Directive (UE) 2017/1132 du Parlement européen et du Conseil, du 14 juin 2017, relative à certains aspects du droit des sociétés (JO 2017, L 169, p. 46).

( 2 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 3 ) En vertu de l’article 82 du RGPD.

( 4 ) Article 21, paragraphe 2, de la directive 2017/1132.

( 5 ) En vertu de l’article 14 de la directive 2017/1132.

( 6 ) Respectivement, au sens de l’article 4, point 7, et de l’article 4, point 9, du RGPD.

( 7 ) En vertu de l’article 17 du RGPD.

( 8 ) Motif de licéité figurant à l’article 6, paragraphe 1, premier alinéa, sous c), du RGPD.

( 9 ) Motif de licéité prévu à l’article 6, paragraphe 1, premier alinéa, sous e), du RGPD.

( 10 ) En vertu de l’article 17, paragraphe 1, sous c), lu en combinaison avec l’article 21, paragraphe 1, du RGPD

( 11 ) Article 58, paragraphe 3, sous b), du RGPD.