EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62019CJ0439

Arrêt de la Cour (grande chambre) du 22 juin 2021.
Procédure engagée par B.
Demande de décision préjudicielle, introduite par la Latvijas Republikas Satversmes tiesa.
Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 5, 6 et 10 – Législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Licéité – Notion de “données à caractère personnel relatives aux condamnations pénales et aux infractions” – Divulgation aux fins d’améliorer la sécurité routière – Droit d’accès du public aux documents officiels – Liberté d’information – Conciliation avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel – Réutilisation des données – Article 267 TFUE – Effets dans le temps d’une décision préjudicielle – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une législation nationale non compatible avec le droit de l’Union – Principes de primauté du droit de l’Union et de sécurité juridique.
Affaire C-439/19.

Digital reports (Court Reports - general - 'Information on unpublished decisions' section)

ECLI identifier: ECLI:EU:C:2021:504

 ARRÊT DE LA COUR (grande chambre)

22 juin 2021 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 5, 6 et 10 – Législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Licéité – Notion de “données à caractère personnel relatives aux condamnations pénales et aux infractions” – Divulgation aux fins d’améliorer la sécurité routière – Droit d’accès du public aux documents officiels – Liberté d’information – Conciliation avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel – Réutilisation des données – Article 267 TFUE – Effets dans le temps d’une décision préjudicielle – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une législation nationale non compatible avec le droit de l’Union – Principes de primauté du droit de l’Union et de sécurité juridique »

Dans l’affaire C‑439/19,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle, Lettonie), par décision du 4 juin 2019, parvenue à la Cour le 11 juin 2019, dans la procédure engagée par

B

en présence de :

Latvijas Republikas Saeima,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, Mme R. Silva de Lapuerta, vice-présidente, MM. J.‑C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (rapporteur) et N. Piçarra, présidents de chambre, MM. E. Juhász, M. Safjan, D. Šváby, S. Rodin, F. Biltgen, Mme K. Jürimäe, MM. C. Lycourgos et P. G. Xuereb, juges,

avocat général : M. M. Szpunar,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

pour le gouvernement letton, initialement par Mmes V. Soņeca et K. Pommere, puis par Mme K. Pommere, en qualité d’agents,

pour le gouvernement néerlandais, par Mmes M. K. Bulterman et M. Noort, en qualité d’agents,

pour le gouvernement autrichien, par Mme J. Schmoll et M. G. Kunnert, en qualité d’agents,

pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes P. Barros da Costa, A. C. Guerra et I. Oliveira, en qualité d’agents,

pour le gouvernement suédois, par Mmes C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld et M. Salborn Hodgson ainsi que par MM. O. Simonsson et J. Lundberg, en qualité d’agents,

pour la Commission européenne, par MM. D. Nardi et H. Kranenborg ainsi que par Mme I. Rubene, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 17 décembre 2020,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation des articles 5, 6 et 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), de l’article 1er, paragraphe 2, sous c quater), de la directive 2003/98/CE du Parlement européen et du Conseil, du 17 novembre 2003, concernant la réutilisation des informations du secteur public (JO 2003, L 345, p. 90), telle que modifiée par la directive 2013/37/UE du Parlement européen et du Conseil, du 26 juin 2013 (JO 2013, L 175, p. 1) (ci-après la « directive 2003/98 »), ainsi que des principes de primauté du droit de l’Union et de sécurité juridique.

2

Cette demande a été présentée dans le cadre d’une procédure engagée par B au sujet de la légalité d’une législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières.

Le cadre juridique

Le droit de l’Union

La directive 95/46/CE

3

La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), a été abrogée, avec effet au 25 mai 2018, par le RGPD. L’article 3 de cette directive, intitulé « Champ d’application », était libellé comme suit :

« 1.   La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.   La présente directive ne s’applique pas au traitement de données à caractère personnel :

mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité [UE, dans sa version antérieure au traité de Lisbonne], et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[…] »

Le RGPD

4

Les considérants 1, 4, 10, 16, 19, 39, 50 et 154 du RGPD énoncent :

« (1)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci–après [la] « Charte ») et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[...]

(4)

Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.

[...]

(10)

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(16)

Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

[...]

(19)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l’objet d’un acte juridique spécifique de l’Union. Le présent règlement ne devrait dès lors pas s’appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu’elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil[, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89)]. [...]

[...]

(39)

[...] En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. [...] Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...]

[...]

(50)

Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. Si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, le droit de l’Union ou le droit d’un État membre peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. [...]

[...]

(154)

Le présent règlement permet de prendre en compte, dans son application, le principe de l’accès du public aux documents officiels. L’accès du public aux documents officiels peut être considéré comme étant dans l’intérêt public. Les données à caractère personnel figurant dans des documents détenus par une autorité publique ou un organisme public devraient pouvoir être rendues publiques par ladite autorité ou ledit organisme si cette communication est prévue par le droit de l’Union ou le droit de l’État membre dont relève l’autorité publique ou l’organisme public. Ces dispositions légales devraient concilier l’accès du public aux documents officiels et la réutilisation des informations du secteur public, d’une part, et le droit à la protection des données à caractère personnel, d’autre part, et peuvent dès lors prévoir la conciliation nécessaire avec le droit à la protection des données à caractère personnel en vertu du présent règlement. Dans ce contexte, il convient d’entendre par “autorités publiques et organismes publics”, toutes les autorités ou autres organismes relevant du droit d’un État membre en matière d’accès du public aux documents. La directive [2003/98/CE] laisse intact et n’affecte en rien le niveau de protection des personnes physiques à l’égard du traitement des données à caractère personnel garanti par les dispositions du droit de l’Union et du droit des États membres et, en particulier, ne modifie en rien les droits et obligations prévus dans le présent règlement. En particulier, ladite directive ne devrait pas s’appliquer aux documents dont l’accès est exclu ou limité en application de règles d’accès pour des motifs de protection des données à caractère personnel, et aux parties de documents accessibles en vertu desdites règles qui contiennent des données à caractère personnel dont la réutilisation a été prévue par la loi comme étant incompatible avec la législation concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »

5

L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose :

« 1.   Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.

2.   Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.

3.   La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. »

6

L’article 2 dudit règlement, intitulé « Champ d’application matériel », prévoit, à ses paragraphes 1 et 2 :

« 1.   Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2.   Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)

dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b)

par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;

c)

par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;

d)

par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces. »

7

Aux termes de l’article 4 du même règlement, intitulé « Définitions » :

« Aux fins du présent règlement, on entend par :

1)

“données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable [...] ;

2)

“traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

7)

“responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[...] »

8

L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », énonce :

« 1.   Les données à caractère personnel doivent être :

a)

traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;

c)

adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d)

exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; [...] (limitation de la conservation) ;

f)

traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité).

2.   Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

9

L’article 6 de ce règlement, intitulé « Licéité du traitement », prévoit, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)

la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)

le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)

le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d)

le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e)

le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f)

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions. »

10

L’article 10 dudit règlement, intitulé « Traitement de données à caractère personnel relatives aux condamnations pénales et aux infractions », dispose :

« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Tout registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique. »

11

L’article 51 du même règlement, intitulé « Autorité de contrôle », énonce, à son paragraphe 1 :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »

12

L’article 85 du RGPD, intitulé « Traitement et liberté d’expression et d’information », dispose, à son paragraphe 1 :

« Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire. »

13

L’article 86 de ce règlement, intitulé « Traitement et accès du public aux documents officiels », prévoit :

« Les données à caractère personnel figurant dans des documents officiels détenus par une autorité publique ou par un organisme public ou un organisme privé pour l’exécution d’une mission d’intérêt public peuvent être communiquées par ladite autorité ou ledit organisme conformément au droit de l’Union ou au droit de l’État membre auquel est soumis l’autorité publique ou l’organisme public, afin de concilier le droit d’accès du public aux documents officiels et le droit à la protection des données à caractère personnel au titre du présent règlement. »

14

Aux termes de l’article 87 dudit règlement, intitulé « Traitement du numéro d’identification national » :

« Les États membres peuvent préciser les conditions spécifiques du traitement d’un numéro d’identification national ou de tout autre identifiant d’application générale. Dans ce cas, le numéro d’identification national ou tout autre identifiant d’application générale n’est utilisé que sous réserve des garanties appropriées pour les droits et libertés de la personne concernée adoptées en vertu du présent règlement. »

15

L’article 94 du même règlement dispose :

« 1.   La directive [95/46] est abrogée avec effet au 25 mai 2018.

2.   Les références faites à la directive abrogée s’entendent comme faites au présent règlement. [...] »

La directive 2016/680

16

Les considérants 10, 11 et 13 de la directive 2016/680 énoncent :

« (10)

Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 du traité sur le fonctionnement de l’Union européenne pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.

(11)

Il convient dès lors que ces domaines soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, en respectant la nature spécifique de ces activités. Les autorités compétentes en question peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d’autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de la présente directive. Lorsqu’un tel organisme ou une telle entité traite des données à caractère personnel à des fins autres que celles prévues dans la présente directive, le [RGPD] s’applique. Par conséquent, le [RGPD] s’applique lorsqu’un organisme ou une entité recueille des données à caractère personnel à d’autres fins et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. [...]

[...]

(13)

La notion d’infraction pénale au sens de la présente directive devrait être une notion autonome du droit de l’Union conforme à l’interprétation de la Cour de justice de l’Union européenne [...]. »

17

L’article 3 de cette directive dispose :

« Aux fins de la présente directive, on entend par :

[...]

7.   “autorité compétente” :

a)

toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; ou

b)

tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

[...] »

La directive 2003/98

18

Aux termes du considérant 21 de la directive 2003/98 :

« La présente directive devrait être mise en œuvre et appliquée dans le respect total des principes relatifs à la protection des données à caractère personnel, conformément à la directive [95/46]. »

19

L’article 1er de la directive 2003/98, intitulé « Objet et champ d’application », prévoit ce qui suit :

« 1.   La présente directive fixe un ensemble minimal de règles concernant la réutilisation et les moyens pratiques destinés à faciliter la réutilisation de documents existants détenus par des organismes du secteur public des États membres.

2.   La présente directive ne s’applique pas :

[...]

c quater)

aux documents dont l’accès est exclu ou limité en application de règles d’accès pour des motifs de protection des données à caractère personnel, et aux parties de documents accessibles en vertu desdites règles qui contiennent des données à caractère personnel dont la réutilisation a été définie par la loi comme étant incompatible avec la législation concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;

[...]

3.   La présente directive s’appuie sur les règles d’accès en vigueur dans les États membres et ne les affecte en rien.

4.   La présente directive laisse intact et n’affecte en rien le niveau de protection des personnes à l’égard du traitement des données à caractère personnel garanti par les dispositions du droit de l’Union et du droit national et, en particulier, ne modifie en rien les droits et obligations prévus dans la directive [95/46].

[...] ».

Le droit letton

20

L’article 96 de la Latvijas Republikas Satversme (Constitution de la République de Lettonie, ci-après la « Constitution lettone ») dispose :

« Toute personne a droit au respect de sa vie privée, de son domicile et de sa correspondance. »

21

Selon l’article 1er, paragraphe 5, de l’Informācijas atklātības likums (loi sur la liberté d’information), du 29 octobre 1998 (Latvijas Vēstnesis, 1998, no 334/335), la réutilisation consiste en l’utilisation d’informations accessibles au public détenues et créées par une autorité, à des fins commerciales ou non commerciales autres que l’objectif initial pour lequel les informations ont été créées, si cette utilisation est effectuée par une personne privée et ne relève pas de missions de puissance publique.

22

Conformément à l’article 4 de cette loi, les informations accessibles au public sont celles qui ne relèvent pas de la catégorie des informations d’accès restreint.

23

L’article 5 de ladite loi prévoit, à son paragraphe 1, que les informations sont d’accès restreint lorsqu’elles sont destinées à un groupe limité de personnes aux fins de l’accomplissement de leurs tâches ou de leurs obligations professionnelles et lorsque la divulgation ou la perte de ces informations, en raison de la nature et du contenu de celles-ci, fait obstacle ou peut faire obstacle aux activités d’une autorité, ou cause ou peut causer un préjudice aux intérêts des personnes protégés par les lois. Cet article souligne, à son paragraphe 2, que des informations sont considérées comme étant des informations d’accès restreint lorsque, notamment, la loi le prévoit, et précise, à son paragraphe 6, que des informations déjà publiées ne peuvent être considérées comme étant des informations d’accès restreint.

24

Selon l’article 10, paragraphe 3, de la même loi, les informations accessibles au public peuvent être fournies sur demande, le demandeur n’étant pas tenu de justifier de manière spécifique son intérêt à obtenir ces informations et l’accès à celles-ci ne peut lui être refusé au motif qu’elles ne le concernent pas.

25

L’article 141 du Ceļu satiksmes likums (loi sur la circulation routière), du 1er octobre 1997 (Latvijas Vēstnesis, 1997, no 274/276), dans sa version applicable au litige au principal (ci-après la « loi sur la circulation routière »), intitulé « Accès aux informations conservées dans le registre national des véhicules et de leurs conducteurs [...] », énonce, à son paragraphe 2 :

« Les informations relatives [...] au droit d’une personne de conduire des véhicules, aux amendes infligées pour des infractions routières et non payées dans le délai prévu par la loi, ainsi que les autres informations se trouvant dans le registre national des véhicules et de leurs conducteurs [...], constituent des informations accessibles au public. »

26

L’article 431 de la loi sur la circulation routière, intitulé « Système de points de pénalité », dispose, à son paragraphe 1 :

« Dans le but d’influer sur le comportement des conducteurs de véhicules, en favorisant une conduite sûre des véhicules et le respect de la réglementation routière, ainsi que dans le but de réduire autant que possible les risques pour la vie, la santé et la propriété des personnes, les infractions administratives commises par les conducteurs de véhicules sont inscrites au registre des condamnations et les points de pénalité sont inscrits au registre national des véhicules et de leurs conducteurs. »

27

Conformément aux points 1 et 4 du Ministru kabineta noteikumi Nr. 551 « Pārkāpumu uzskaites punktu sistēmas piemērošanas noteikumi » (décret no 551 du conseil des ministres relatif aux règles de mise en œuvre du système des points de pénalité), du 21 juin 2004 (Latvijas Vēstnesis, 2004, no 102), les points de pénalité pour les infractions administratives commises en matière de circulation routière par des conducteurs de véhicules sont automatiquement enregistrés le jour de l’expiration du délai de recours contre la décision infligeant une sanction administrative.

28

Selon le point 7 de ce décret, les points de pénalité sont enlevés lorsqu’ils sont prescrits.

29

En vertu du point 12 dudit décret, en fonction du nombre de points de pénalité, les conducteurs font l’objet de mesures, telles que des avertissements, des formations ou des examens en matière de sécurité routière, ou d’une interdiction d’exercer le droit de conduire des véhicules pendant une période déterminée.

30

Ainsi qu’il ressort de l’article 32, paragraphe 1, du Satversmes tiesas likums (loi sur la Cour constitutionnelle), du 5 juin 1996 (Latvijas Vēstnesis, 1996, no 103), un arrêt de la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle, Lettonie) est définitif et exécutoire dès son prononcé. Conformément à l’article 32, paragraphe 3, de cette loi, une disposition juridique que la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle) a déclarée non conforme à une norme juridique supérieure est réputée nulle à compter du jour de la publication de l’arrêt de cette juridiction, à moins que celle-ci n’en décide autrement.

Le litige au principal et les questions préjudicielles

31

B est une personne physique à laquelle des points de pénalité ont été imposés en raison d’une ou plusieurs infractions routières. Conformément à la loi sur la circulation routière et au décret no 551, du 21 juin 2004, la Ceļu satiksmes drošības direkcija (direction de la sécurité routière, Lettonie) (ci-après la « CSDD ») a inscrit ces points de pénalité au registre national des véhicules et de leurs conducteurs.

32

Les informations relatives auxdits points de pénalité contenues dans ce registre étant accessibles au public et ayant par ailleurs, selon B, été communiquées, à des fins de réutilisation, à plusieurs opérateurs économiques, B a formé un recours constitutionnel auprès de la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle), afin que celle-ci examine la conformité de l’article 141, paragraphe 2, de la loi sur la circulation routière avec le droit fondamental au respect de la vie privée énoncé à l’article 96 de la Constitution lettone.

33

La Latvijas Republikas Saeima (Parlement de la République de Lettonie, ci-après le « Parlement letton ») a été associée à la procédure en tant qu’institution ayant adopté la loi sur la circulation routière. Par ailleurs, la CSDD, qui traite les données relatives aux points de pénalité imposés pour des infractions routières, a été entendue, tout comme la Datu valsts inspekcija (autorité de la protection des données), qui est, en Lettonie, l’autorité de contrôle au sens de l’article 51 du RGPD, ainsi que plusieurs autres autorités et personnes.

34

Dans le cadre du recours au principal, le Parlement letton a confirmé que, en vertu de l’article 141, paragraphe 2, de la loi sur la circulation routière, toute personne peut obtenir des informations relatives aux points de pénalité imposés à une autre personne, soit en se renseignant directement auprès de la CSDD, soit en faisant appel aux services fournis par des réutilisateurs commerciaux.

35

Il a souligné que cette disposition est licite car justifiée par l’objectif d’amélioration de la sécurité routière. Cet intérêt général nécessiterait que les contrevenants au code de la route, en particulier ceux méconnaissant ce code de manière systématique et de mauvaise foi, soient ouvertement identifiés et que les conducteurs de véhicules soient, au moyen de cette transparence, dissuadés de commettre des infractions.

36

Ladite disposition serait, par ailleurs, justifiée par le droit d’accès à l’information, prévu par la Constitution lettone.

37

Le Parlement letton a précisé que, dans la pratique, les informations contenues dans le registre national des véhicules et de leurs conducteurs sont communiquées sous la condition que le demandeur de l’information fournisse le numéro d’identification national du conducteur sur lequel il souhaite se renseigner. Cette condition préalable à l’obtention de l’information s’expliquerait par le fait que, à la différence du nom de la personne, qui peut être identique à celui d’autres personnes, le numéro d’identification national est un identificateur unique.

38

De son côté, la CSDD a fait observer que l’article 141, paragraphe 2, de la loi sur la circulation routière n’impose de limites ni à l’accès du public aux données relatives aux points de pénalité ni à la réutilisation de ces données. S’agissant des contrats qu’elle conclut avec des réutilisateurs commerciaux, la CSDD a souligné que ces contrats ne prévoient pas le transfert juridique des données et que les réutilisateurs doivent assurer que les informations transmises à leurs clients n’excèdent pas celles qui peuvent être obtenues auprès de la CSDD. En outre, dans le cadre de ces contrats, l’acquéreur attesterait qu’il utilisera les informations obtenues conformément aux objectifs indiqués dans le contrat et dans le respect de la réglementation en vigueur.

39

Quant à la Datu valsts inspekcija (autorité de la protection des données), celle-ci a exprimé ses doutes à l’égard de la conformité de l’article 141, paragraphe 2, de la loi sur la circulation routière avec l’article 96 de la Constitution lettone qui prévoit le droit au respect de la vie privée. De son point de vue, l’importance et l’objectif du traitement effectué sur la base de la disposition en cause au principal ne seraient pas clairement établis, de sorte qu’il ne serait pas exclu que ce traitement soit inapproprié ou disproportionné. En effet, si les statistiques relatives aux accidents de la circulation en Lettonie mettent en évidence une diminution du nombre des accidents, il ne serait pas pour autant établi que le système des points de pénalité et l’accès du public aux informations relatives à ce système aient contribué à cette évolution favorable.

40

La Latvijas Republikas Satversmes tiesa (Cour constitutionnelle) constate, tout d’abord, que le recours concerne l’article 141, paragraphe 2, de la loi sur la circulation routière uniquement dans la mesure où cette disposition rend accessibles au public les points de pénalité inscrits au registre national des véhicules et de leurs conducteurs.

41

Cette juridiction relève, ensuite, que les points de pénalité sont des données à caractère personnel et qu’il y a lieu, dans le cadre de l’appréciation du droit au respect de la vie privée prévu à l’article 96 de la constitution lettone, de tenir compte du RGPD ainsi que, plus généralement, de l’article 16 TFUE et de l’article 8 de la Charte.

42

S’agissant des objectifs de la réglementation lettone en matière de circulation routière, ladite juridiction expose que c’est notamment afin de favoriser la sécurité routière que les infractions commises par les conducteurs, qui sont qualifiées d’administratives en Lettonie, sont inscrites au registre des condamnations et que les points de pénalité sont inscrits au registre national des véhicules et de leurs conducteurs.

43

En ce qui concerne, en particulier, le registre national des véhicules et de leurs conducteurs, il permettrait de connaître le nombre des infractions routières commises et de mettre en œuvre des mesures en fonction de ce nombre. Le système des points de pénalité inscrits dans ce registre viserait ainsi à améliorer la sécurité routière en permettant, d’une part, de distinguer les conducteurs de véhicules qui méconnaissent les règles de la circulation routière de manière systématique et de mauvaise foi par rapport aux conducteurs qui commettent occasionnellement des infractions. D’autre part, un tel système serait également susceptible d’influencer de façon préventive le comportement des usagers de la route, en les incitant à respecter la réglementation routière.

44

La même juridiction fait observer qu’il est constant que l’article 141, paragraphe 2, de la loi sur la circulation routière confère à toute personne le droit de demander et d’obtenir de la part de la CSDD les informations contenues dans le registre national des véhicules et de leurs conducteurs en ce qui concerne les points de pénalité imposés aux conducteurs. Elle confirme à cet égard que, en pratique, ces informations sont fournies à la personne qui les demande dès l’instant où celle-ci indique le numéro d’identification national du conducteur concerné.

45

La Latvijas Republikas Satversmes tiesa (Cour constitutionnelle) précise, par la suite, que les points de pénalité relèvent, en raison de leur qualification d’informations accessibles au public, de la loi sur la liberté d’information et qu’elles peuvent, en conséquence, être réutilisées à des fins, commerciales ou non, autres que l’objectif initial pour lequel ces informations ont été créées.

46

Afin d’interpréter et d’appliquer l’article 96 de la Constitution lettone en conformité avec le droit de l’Union, cette juridiction souhaite savoir, en premier lieu, si les informations relatives aux points de pénalité relèvent de celles visées à l’article 10 du RGPD, à savoir des « données à caractère personnel relatives aux condamnations pénales et aux infractions ». Dans l’affirmative, il pourrait être considéré que l’article 141, paragraphe 2, de la loi sur la circulation routière méconnaît l’exigence contenue audit article 10, selon laquelle le traitement des données qu’il vise ne peut avoir lieu que « sous le contrôle de l’autorité publique » ou à la condition qu’il existe des « garanties appropriées pour les droits et libertés des personnes concernées ».

47

Ladite juridiction fait observer que l’article 8, paragraphe 5, de la directive 95/46, qui laissait à chaque État membre le soin d’apprécier s’il convenait d’étendre les règles particulières en matière de données relatives aux infractions et aux condamnations pénales aux données relatives aux infractions et aux sanctions administratives, avait, à partir du 1er septembre 2007, été mis en œuvre en Lettonie de telle manière que les données à caractère personnel relatives aux infractions administratives ne pouvaient, à l’instar des données relatives aux infractions et aux condamnations pénales, faire l’objet d’un traitement que par les personnes et dans les cas prévus par la loi.

48

La même juridiction souligne, par ailleurs, que la portée de l’article 10 du RGPD doit, conformément au considérant 4 de ce règlement, être appréciée en tenant compte de la fonction des droits fondamentaux dans la société. Or, dans ce contexte, l’objectif d’éviter qu’une condamnation antérieure d’une personne ait une incidence négative excessive sur sa vie privée et professionnelle pourrait valoir tant en ce qui concerne les condamnations pénales que les infractions administratives. Il conviendrait, dans ce contexte, de prendre en considération la jurisprudence de la Cour européenne des droits de l’homme sur l’assimilation de certaines affaires administratives à des affaires pénales.

49

La Latvijas Republikas Satversmes tiesa (Cour constitutionnelle) s’interroge, en deuxième lieu, sur la portée de l’article 5 du RGPD. Elle se demande, en particulier, si le législateur letton a respecté l’obligation, énoncée au paragraphe 1, sous f), de cet article, de traiter les données à caractère personnel avec « intégrité et confidentialité ». Elle fait observer que l’article 141, paragraphe 2, de la loi sur la circulation routière, qui, en donnant accès aux informations relatives aux points de pénalité, permet de savoir si une personne a été condamnée pour une infraction en matière de circulation routière, n’a pas été assortie de mesures spécifiques assurant la sécurité de ces données.

50

Cette juridiction souhaite, en troisième lieu, savoir si la directive 2003/98 est pertinente pour examiner la compatibilité de l’article 141, paragraphe 2, de la loi sur la circulation routière avec le droit au respect de la vie privée. En effet, il résulterait de cette directive que la réutilisation de données à caractère personnel ne peut être autorisée que dans le respect dudit droit.

51

En quatrième lieu, au regard de la jurisprudence de la Cour selon laquelle l’interprétation du droit de l’Union fournie dans les décisions préjudicielles a des effets erga omnes et ex tunc, ladite juridiction se demande si, en cas d’incompatibilité de l’article 141, paragraphe 2, de la loi sur la circulation routière avec l’article 96 de la constitution lettone, lu à la lumière du RGPD et de la Charte, elle pourrait néanmoins maintenir les effets dans le temps dudit article 141, paragraphe 2, jusqu’à la date de prononcé de son arrêt, compte tenu du nombre élevé des relations juridiques en cause.

52

À cet égard, la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle) expose que, selon le droit letton, un acte qu’elle déclare inconstitutionnel doit être considéré comme étant nul à compter du jour du prononcé de son arrêt, à moins qu’elle n’en décide autrement. Elle explique qu’elle doit, à cet égard, assurer un équilibre, entre, d’une part, le principe de sécurité juridique et, d’autre part, les droits fondamentaux des différents intéressés.

53

Dans ces conditions, la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

La notion de “traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes”, employée à l’article 10 du [RGPD], doit-elle être interprétée en ce sens qu’elle inclut le traitement prévu par la disposition litigieuse, à savoir le traitement des informations relatives aux points de pénalité imposés aux conducteurs de véhicules ?

2)

Indépendamment de la réponse à la première question, les dispositions du [RGPD], en particulier le principe d’“intégrité et [de] confidentialité” consacré à l’article 5, paragraphe 1, sous f), doivent-elles être interprétées en ce sens qu’elles interdisent aux États membres de rendre accessibles au public les informations relatives aux points de pénalité imposés aux conducteurs de véhicules, ainsi que de permettre le traitement des données en question par la voie d’une communication ?

3)

Les considérants 50 et 154, l’article 5, paragraphe 1, sous b), et l’article 10 du [RGPD], ainsi que l’article 1er, paragraphe 2, sous c quater), de la directive 2003/98 doivent-ils être interprétés en ce sens qu’ils s’opposent à une réglementation d’un État membre permettant, à des fins de réutilisation, la transmission des informations relatives aux points de pénalité imposés aux conducteurs de véhicules ?

4)

S’il est répondu par l’affirmative à l’une des questions précédentes, le principe de primauté du droit de l’Union et le principe de sécurité juridique doivent-ils être interprétés en ce sens qu’il pourrait être permis d’appliquer la disposition litigieuse et de maintenir les effets juridiques de celle-ci jusqu’à ce que la Satversmes tiesa (Cour constitutionnelle) ait statué définitivement ? »

Sur les questions préjudicielles

Sur la première question

54

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 10 du RGPD doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières, consistant en la divulgation au public de telles données.

55

Aux termes de l’article 10 du RGPD, le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et les libertés des personnes concernées.

56

Il convient ainsi, à titre liminaire, de vérifier si les informations relatives aux points de pénalité communiquées aux tiers en vertu de la réglementation en cause au principal constituent des « données à caractère personnel », au sens de l’article 4, point 1, du RGPD, et si ladite communication constitue un « traitement » de telles données, au sens de l’article 4, point 2, de ce règlement, relevant du champ d’application matériel de celui-ci, tel que défini à son article 2.

57

À cet égard, il convient de constater, en premier lieu, qu’il ressort de la décision de renvoi que la réglementation lettone prévoit l’imposition de points de pénalité aux conducteurs de véhicules qui ont commis une infraction routière et auxquels une sanction, pécuniaire ou autre, a été infligée. Ces points sont inscrits par un organisme public, la CSDD, au registre national des véhicules et de leurs conducteurs le jour de l’expiration du délai de recours contre la décision infligeant cette sanction.

58

Il ressort également de ladite décision que les infractions routières et les sanctions visant à les réprimer relèvent, en Lettonie, du droit administratif et que l’imposition de points de pénalité a pour objet non pas d’infliger une sanction supplémentaire mais de sensibiliser les conducteurs concernés, en les incitant à adopter un mode de conduite plus sûr. Lorsqu’un certain nombre de points de pénalité est atteint, la personne concernée peut faire l’objet d’une interdiction de conduire pendant une période déterminée.

59

Il résulte aussi de cette décision que la réglementation en cause au principal fait obligation à la CSDD de communiquer les informations relatives aux points de pénalité imposés à un conducteur déterminé à toute personne qui sollicite l’accès à ces informations. La CSDD se borne à exiger, à cette fin, que le demandeur desdites informations identifie dûment le conducteur visé en fournissant le numéro d’identification national de celui-ci.

60

Force est ainsi de constater que les informations relatives aux points de pénalité, qui se rapportent à une personne physique identifiée, sont des « données à caractère personnel », au sens de l’article 4, point 1, du RGPD, et que leur communication par la CSDD à des tiers constitue un « traitement », au sens de l’article 4, point 2, du RGPD.

61

En second lieu, il importe de constater que la communication de ces informations relève de la définition très large du champ d’application matériel du RGPD, telle qu’elle est énoncée à son article 2, paragraphe 1, et ne figure pas au nombre des traitements de données à caractère personnel que l’article 2, paragraphe 2, sous a) et d), du RGPD exclut de ce champ d’application.

62

En effet, s’agissant, d’une part, de l’article 2, paragraphe 2, sous a), du RGPD, celui-ci prévoit que ce règlement ne s’applique pas au traitement de données à caractère personnel effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». Cette exception à l’applicabilité du RGPD doit, à l’instar des autres exceptions prévues à l’article 2, paragraphe 2, de celui-ci, recevoir une interprétation stricte (voir, en ce sens, arrêts du 9 juillet 2020, Land Hessen, C‑272/19, EU:C:2020:535, point 68, ainsi que du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, point 84).

63

À cet égard, il importe de lire l’article 2, paragraphe 2, sous a), de ce règlement conjointement avec son article 2, paragraphe 2, sous b), et son considérant 16, qui précise que ledit règlement ne s’applique pas aux traitements de données à caractère personnel dans le contexte des « activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale » ainsi que des « activités ayant trait à la politique étrangère et de sécurité commune de l’Union ».

64

Il en résulte que l’article 2, paragraphe 2, sous a) et b), du RGPD s’inscrit partiellement dans la continuité de l’article 3, paragraphe 2, premier tiret, de la directive 95/46. Il s’ensuit que l’article 2, paragraphe 2, sous a) et b), du RGPD, ne saurait être interprété comme disposant d’une portée plus large que l’exception découlant de l’article 3, paragraphe 2, premier tiret de la directive 95/46, lequel excluait déjà du champ d’application de cette directive notamment le traitement de données à caractère personnel ayant lieu dans le cadre « d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité [UE, dans sa version antérieure au traité de Lisbonne], et, en tout état de cause, [les] traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État [...] ».

65

Or, ainsi que la Cour l’a itérativement jugé, seuls les traitements de données à caractère personnel mis en œuvre dans le cadre d’une activité propre aux États ou aux autorités étatiques et expressément mentionnée audit article 3, paragraphe 2, ou dans le cadre d’une activité pouvant être rangée dans la même catégorie, étaient exclus du champ d’application de ladite directive (voir, en ce sens, arrêts du 6 novembre 2003, Lindqvist, C‑101/01, EU:C:2003:596, points 42 à 44 ; du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, points 36 et 37, ainsi que du 10 juillet 2018, Jehovan todistajat, C‑25/17, EU:C:2018:551, point 38).

66

Il en résulte que l’article 2, paragraphe 2, sous a), du RGPD, lu à la lumière du considérant 16 de ce règlement, doit être considéré comme ayant pour seul objet d’exclure du champ d’application dudit règlement les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie, de telle sorte que le seul fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité (voir, en ce sens, arrêt du 9 juillet 2020, Land Hessen, C‑272/19, EU:C:2020:535, point 70).

67

Les activités qui ont pour but de préserver la sécurité nationale visées à l’article 2, paragraphe 2, sous a), du RGPD couvrent, en particulier, ainsi que l’a également relevé en substance M. l’avocat général aux points 57 et 58 de ses conclusions, celles ayant pour objet de protéger les fonctions essentielles de l’État et les intérêts fondamentaux de la société.

68

Or, les activités relatives à la sécurité routière ne poursuivent pas un tel objectif et ne sauraient, en conséquence, être rangées dans la catégorie des activités ayant pour but la préservation de la sécurité nationale, visées à l’article 2, paragraphe 2, sous a), du RGPD.

69

En ce qui concerne, d’autre part, l’article 2, paragraphe 2, sous d), du RGPD, il prévoit que ce règlement ne s’applique pas au traitement de données à caractère personnel effectué « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ». Ainsi qu’il résulte du considérant 19 dudit règlement, cette exception est motivée par la circonstance que les traitements, à de telles fins et par les autorités compétentes, de données à caractère personnel sont régis par un acte plus spécifique de l’Union, à savoir la directive 2016/680, laquelle a été adoptée le même jour que le RGPD et qui définit, à son article 3, paragraphe 7, ce qu’il convient d’entendre par « autorité compétente », une telle définition devant être appliquée, par analogie, à l’article 2, paragraphe 2, sous d).

70

Il ressort du considérant 10 de la directive 2016/680 que la notion d’« autorité compétente » doit être comprise en lien avec la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, compte tenu des aménagements qui peuvent s’avérer nécessaires, à cet égard, en raison de la nature spécifique de ces domaines. En outre, le considérant 11 de cette directive précise que le RGPD s’applique au traitement de données à caractère personnel qui serait effectué par une « autorité compétente », au sens de l’article 3, paragraphe 7, de ladite directive, mais à d’autres fins que celles prévues dans celle-ci.

71

Au vu des éléments dont dispose la Cour, il n’apparaît pas que, dans l’exercice des activités en cause au principal, qui consistent à communiquer au public, dans un but de sécurité routière, des données à caractère personnel relatives aux points de pénalités, la CSDD puisse être considérée comme une « autorité compétente », au sens de l’article 3, paragraphe 7, de la directive 2016/680 et, partant, que de telles activités puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du RGPD.

72

Partant, la communication par la CSDD des données personnelles relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières relève du champ d’application matériel du RGPD.

73

Quant à l’applicabilité de l’article 10 du RGPD à une telle communication, il s’agit de savoir si les informations ainsi communiquées constituent des données à caractère personnel « relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes », au sens de cette disposition, dont le traitement « ne peut être effectué que sous le contrôle de l’autorité publique », à moins qu’il ne soit « autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées ».

74

À cet égard, il importe de rappeler que ledit article 10 vise à assurer une protection accrue à l’encontre de traitements qui, en raison de la sensibilité particulière des données en cause, sont susceptibles de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, garantis par les articles 7 et 8 de la Charte [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 44].

75

En effet, dès lors que les données auxquelles se réfère l’article 10 du RGPD portent sur des comportements qui entraînent la désapprobation de la société, l’octroi d’un accès à de telles données est susceptible de stigmatiser la personne concernée et de constituer ainsi une ingérence grave dans sa vie privée ou professionnelle.

76

En l’occurrence, il est vrai que les décisions des autorités lettones visant à réprimer les infractions routières sont, ainsi que l’a souligné le gouvernement letton dans ses réponses aux questions de la Cour, inscrites au registre des condamnations, auquel le public n’a accès que dans des cas limités, et non au registre des véhicules et de leurs conducteurs, auquel l’article 141, paragraphe 2, de la loi sur la circulation routière donne librement accès. Cependant, ainsi que l’a souligné la juridiction de renvoi, la communication par la CSDD des données à caractère personnel relatives aux points de pénalité et inscrites dans ce dernier registre permet au public de savoir si une personne déterminée a commis des infractions routières et, dans l’affirmative, d’en déduire la gravité et la fréquence de ces infractions. Un tel régime de communication de points de pénalité revient, dès lors, à donner accès à des données à caractère personnel relatives aux infractions routières.

77

Afin de déterminer si un tel accès constitue un traitement de données à caractère personnel relatives à des « infractions », au sens de l’article 10 du RGPD, il importe de faire observer, premièrement, que cette notion renvoie exclusivement aux infractions pénales, ainsi qu’il résulte notamment de la genèse du RGPD. En effet, alors que le Parlement européen avait proposé d’inclure expressément dans cette disposition les termes « sanctions administratives » (JO 2017, C 378, p. 430), cette proposition n’a pas été retenue. Cette circonstance est d’autant plus notable que la disposition ayant précédé l’article 10 du RGPD, à savoir l’article 8, paragraphe 5, de la directive 95/46, qui se référait, à son premier alinéa, aux « infractions » et aux « condamnations pénales », offrait, à son second alinéa, la possibilité aux États membres de « prévoir que les données relatives aux sanctions administratives [soient] également traitées sous le contrôle de l’autorité publique ». Il résulte ainsi clairement d’une lecture d’ensemble de cet article 8, paragraphe 5, que la notion d’« infraction » se référait uniquement aux infractions pénales.

78

Dans ces conditions, il doit être considéré que le législateur de l’Union, en omettant délibérément d’inclure l’adjectif « administratif » à l’article 10 du RGPD, a entendu réserver la protection accrue prévue par cette disposition au seul domaine pénal.

79

Cette interprétation est corroborée, ainsi que l’a relevé M. l’avocat général aux points 74 à 77 de ses conclusions, par le fait que plusieurs des versions linguistiques de l’article 10 du RGPD font expressément référence aux « infractions pénales », telles que celles en langue allemande (Straftaten), espagnole (infracciones penales), italienne (reati), lituanienne (nusikalstamas veikas), maltaise (reati) et néerlandaise (strafbare feiten).

80

Deuxièmement, le fait que les infractions routières sont qualifiées d’administratives en Lettonie n’est pas déterminant pour apprécier si ces infractions relèvent de l’article 10 du RGPD.

81

À cet égard, il convient de rappeler que les termes d’une disposition du droit de l’Union qui ne comporte aucun renvoi exprès au droit des États membres pour déterminer son sens et sa portée doivent normalement trouver, dans toute l’Union, une interprétation autonome et uniforme (arrêts du 19 septembre 2000, Linster, C‑287/98, EU:C:2000:468, point 43, et du 1er octobre 2019, Planet49, C‑673/17, EU:C:2019:801, point 47).

82

En l’occurrence, il y a lieu de relever, tout d’abord, que le RGPD ne comporte aucun renvoi aux droits nationaux en ce qui concerne la portée des termes figurant à l’article 10 de celui-ci, notamment des termes « infractions » et « condamnations pénales ».

83

Ensuite, il ressort du considérant 10 du RGPD que celui-ci vise à contribuer à la réalisation d’un espace de liberté, de sécurité et de justice en assurant un niveau cohérent et élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel, ce qui suppose que ce niveau de protection soit équivalent et homogène dans tous les États membres. Or, il serait contraire à une telle finalité que la protection accrue prévue à cette disposition ne s’applique au traitement des données à caractère personnel relatives aux infractions routières que dans certains États membres et non dans d’autres, au seul motif que ces infractions ne sont pas qualifiées de pénales dans ces derniers États membres.

84

Enfin, ainsi que l’a relevé M. l’avocat général au point 84 de ses conclusions, cette constatation est corroborée par le considérant 13 de la directive 2016/680 qui indique que la « notion d’infraction pénale au sens de [cette] directive devrait être une notion autonome du droit de l’Union conforme à l’interprétation de la Cour de justice de l’Union européenne ».

85

Il en résulte que la notion d’« infraction pénale », décisive pour déterminer l’applicabilité de l’article 10 du RGPD à des données à caractère personnel relatives aux infractions routières, telles que celles en cause au principal, requiert, dans toute l’Union, une interprétation autonome et uniforme, qui doit être recherchée en tenant compte de l’objectif poursuivi par cette disposition et du contexte dans lequel celle-ci s’insère, sans que soit déterminante à cet égard la qualification donnée par l’État membre concerné à ces infractions, cette qualification pouvant être différente d’un pays à l’autre (voir, en ce sens, arrêt du 14 novembre 2013, Baláž, C‑60/12, EU:C:2013:733, points 26 et 35).

86

Il y a lieu, troisièmement, d’examiner si les infractions routières, telles que celles qui donnent lieu à l’inscription au registre des véhicules et de leurs conducteurs des points de pénalité dont la communication aux tiers est prévue par la disposition litigieuse, constituent une « infraction pénale », au sens de l’article 10 du RGPD.

87

Selon la jurisprudence de la Cour, trois critères sont pertinents pour apprécier le caractère pénal d’une infraction. Le premier est la qualification juridique de l’infraction en droit interne, le deuxième, la nature même de l’infraction et, le troisième, le degré de sévérité de la sanction que risque de subir l’intéressé (voir, en ce sens, arrêts du 5 juin 2012, Bonda, C‑489/10, EU:C:2012:319, point 37 ; du 20 mars 2018, Garlsson Real Estate e.a., C‑537/16, EU:C:2018:193, point 28, ainsi que du 2 février 2021, Consob, C‑481/19, EU:C:2021:84, point 42).

88

Même pour des infractions qui ne sont pas qualifiées de « pénales » par le droit national, un tel caractère peut néanmoins découler de la nature même de l’infraction en question et du degré de sévérité des sanctions que celle-ci est susceptible d’entraîner (voir, en ce sens, arrêt du 20 mars 2018, Garlsson Real Estate e.a., C‑537/16, EU:C:2018:193, points 28 et 32).

89

S’agissant du critère relatif à la nature même de l’infraction, il implique de vérifier si la sanction en cause poursuit, notamment, une finalité répressive, sans que la seule circonstance qu’elle poursuit également une finalité préventive soit de nature à lui ôter sa qualification de sanction pénale. En effet, il est dans la nature même des sanctions pénales qu’elles tendent tant à la répression qu’à la prévention de comportements illicites. En revanche, une mesure qui se limite à réparer le préjudice causé par l’infraction concernée ne présente pas une nature pénale (voir, en ce sens, arrêts du 5 juin 2012, Bonda, C‑489/10, EU:C:2012:319, point 39, ainsi que du 20 mars 2018, Garlsson Real Estate e.a., C‑537/16, EU:C:2018:193, point 33). Or, il est constant que l’attribution des points de pénalité pour des infractions routières, tout comme les amendes ou autres sanctions que la commission de ces infractions peut entraîner, n’ont pas seulement pour objet de réparer des préjudices éventuellement causés par lesdites infractions mais poursuivent également une finalité répressive.

90

En ce qui concerne le critère relatif au degré de sévérité des sanctions que la commission de ces mêmes infractions peut entraîner, il importe de relever, tout d’abord, que seules des infractions routières d’une certaine gravité comportent l’attribution de points de pénalité et que, partant, de telles infractions sont susceptibles d’entraîner des sanctions d’une certaine sévérité. Ensuite, l’imposition de points de pénalité se rajoute généralement à la sanction infligée en cas de commission d’une telle infraction, ce qui est d’ailleurs le cas, ainsi qu’il a été relevé au point 58 du présent arrêt, de la législation en cause au principal. Enfin, la cumulation desdits points entraîne, en elle-même, des conséquences juridiques, telles que l’obligation de passer un examen, voire une interdiction de conduire.

91

Cette analyse est corroborée par la jurisprudence de la Cour européenne des droits de l’homme selon laquelle, nonobstant la tendance à la « décriminalisation » des infractions routières dans certains États, ces infractions doivent généralement, eu égard à la finalité à la fois préventive et répressive des sanctions infligées et du degré de sévérité que celles-ci peuvent atteindre, être considérées comme étant de nature pénale (voir, en ce sens, Cour EDH, 21 février 1984, Öztürk c. Allemagne, CE:ECHR:1984:0221JUD 000854479, §§ 49 à 53 ; 29 juin 2007, O’Halloran et Francis c. Royaume-Uni CE:ECHR:2007:0629JUD 001580902, §§ 33 à 36, ainsi que 4 octobre 2016, Rivard c. Suisse, CE:ECHR:2016:1004JUD 002156312, §§ 23 et 24).

92

La qualification des infractions routières qui sont susceptibles d’entraîner l’attribution des points de pénalité en tant qu’« infraction pénale », au sens de l’article 10 du RGPD, cadre également avec la finalité de cette disposition. En effet, la communication au public de données à caractère personnel relatives aux infractions routières, y compris les points de pénalité imposés pour leur commission, est susceptible, eu égard au fait que de telles infractions constituent une atteinte à la sécurité routière, de provoquer la désapprobation de la société et d’entraîner la stigmatisation de la personne concernée, notamment lorsque ces points mettent en évidence une certaine gravité ou une certaine fréquence desdites infractions.

93

Il en découle que les infractions routières qui sont susceptibles d’entraîner l’attribution de points de pénalité relèvent de la notion d’« infractions » visée à l’article 10 du RGPD.

94

Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question posée que l’article 10 du RGPD doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières.

Sur la deuxième question

95

Par sa deuxième question, la juridiction de renvoi demande, en substance, si les dispositions du RGPD doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui fait obligation à l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de communiquer ces données à toute personne qui en fait la demande, sans que celle-ci ait à justifier d’un intérêt spécifique à obtenir lesdites données.

96

À cet égard, il importe de rappeler que tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs au traitement des données énoncés à l’article 5 du RGPD et, d’autre part, répondre à l’un des principes relatifs à la licéité du traitement énumérés à l’article 6 dudit règlement (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C‑496/17, EU:C:2019:26, point 57 et jurisprudence citée).

97

S’agissant des principes relatifs au traitement des données à caractère personnel, il est vrai que la juridiction de renvoi se réfère spécifiquement aux principes d’« intégrité » et de « confidentialité » consacrés à l’article 5, paragraphe 1, sous f), du RGPD. Cela étant, il ressort des interrogations de ladite juridiction que celle-ci cherche à établir plus généralement si le traitement des données à caractère personnel en cause au principal peut être considéré comme licite au regard de toutes les dispositions dudit règlement et, notamment, au regard du principe de proportionnalité.

98

Il s’ensuit qu’il convient de tenir compte, dans la réponse à fournir à cette juridiction, également des autres principes énoncés à l’article 5, paragraphe 1, dudit règlement, en particulier du principe de la « minimisation des données » figurant au point c) de cette disposition, selon lequel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées et qui donne expression audit principe de proportionnalité (voir, en ce sens, arrêt du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, point 48).

99

En ce qui concerne les principes relatifs à la licéité du traitement, l’article 6 du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement des données à caractère personnel peut être considéré comme licite. Ainsi, pour qu’il puisse être considéré comme étant légitime, un traitement doit relever de l’un des cas prévus audit article 6 (voir, en ce sens, arrêt du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, points 37 et 38). À cet égard, le traitement des données à caractère personnel en cause au principal, à savoir la communication au public des données relatives aux points de pénalité imposés pour des infractions routières, effectué par la CSDD est susceptible de relever de l’article 6, paragraphe 1, sous e), du RGPD, en vertu duquel le traitement est licite si, et dans la mesure où, il est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ».

100

En outre, dans la mesure où, ainsi qu’il a été constaté au point 94 du présent arrêt, les données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières relèvent de l’article 10 du RGPD, leur traitement est soumis aux restrictions additionnelles prévues à cette disposition. Ainsi, conformément à celle-ci, le traitement de ces données « ne peut être effectué que sous le contrôle de l’autorité publique », à moins qu’il ne soit « autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées ». Ladite disposition précise, par ailleurs, que « [t]out registre complet des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique ».

101

En l’occurrence, il est constant que le traitement de données à caractère personnel en cause au principal, à savoir la communication au public des données relatives aux points de pénalité imposés pour des infractions routières, est effectué par un organisme public, la CSDD, qui est le responsable du traitement au sens de l’article 4, point 7, du RGPD (voir, par analogie, arrêt du 9 mars 2017, Manni, C‑398/15, EU:C:2017:197, point 35). Toutefois, il est également constant que, une fois communiquées, ces données sont consultées par les personnes qui en ont demandé la communication et, le cas échéant, sont conservées ou diffusées par ces personnes. Dans la mesure où ces traitements ultérieurs de données ne sont plus effectués « sous le contrôle » de la CSDD ou d’une autre autorité publique, le droit national autorisant la communication par la CSDD desdites données doit prévoir « des garanties appropriées pour les droits et libertés des personnes concernées ».

102

Partant, c’est au regard tant des conditions générales de licéité, notamment de celles posées à l’article 5, paragraphe 1, sous c), et à l’article 6, paragraphe 1, sous e), du RGPD, que des restrictions particulières prévues à l’article 10 de celui-ci qu’il y a lieu d’examiner la conformité à ce règlement d’une législation nationale telle que celle en cause au principal.

103

À cet égard, il importe de constater qu’aucune de ces dispositions n’interdit de manière générale et absolue que, en vertu d’une législation nationale, une autorité publique soit habilitée, voire contrainte, à communiquer des données à caractère personnel aux personnes qui en font la demande.

104

En effet, si l’article 5, paragraphe 1, sous c), du RGPD soumet au respect du principe de « minimisation des données » le traitement des données à caractère personnel, il résulte clairement du libellé de cette disposition qu’elle ne vise pas à instaurer une telle interdiction générale et absolue et que, en particulier, elle ne s’oppose pas à ce que des données à caractère personnel soient communiquées au public lorsque cette communication est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, au sens de l’article 6, paragraphe 1, sous e), de ce règlement. Il en va ainsi même lorsque les données en question relèvent de l’article 10 du RGPD, pourvu que la législation autorisant cette communication prévoie des garanties appropriées pour les droits et les libertés des personnes concernées [voir, en ce sens, arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles), C‑136/17, EU:C:2019:773, point 73].

105

Dans ce contexte, il convient de rappeler que les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel ne sont pas des prérogatives absolues, mais doivent être pris en considération par rapport à leur fonction dans la société et être mis en balance avec d’autres droits fondamentaux. Des limitations peuvent ainsi être apportées, pourvu que, conformément à l’article 52, paragraphe 1, de la Charte, elles soient prévues par la loi et qu’elles respectent le contenu essentiel des droits fondamentaux ainsi que le principe de proportionnalité. En vertu de ce dernier principe, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. Elles doivent s’opérer dans les limites du strict nécessaire et la réglementation comportant l’ingérence doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause (voir, en ce sens, arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C‑311/18, EU:C:2020:559, points 172 à 176).

106

Partant, afin de déterminer si une communication au public de données à caractère personnel relatives aux points de pénalité, telle que celle en cause au principal, est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, au sens de l’article 6, paragraphe 1, sous e), du RGPD, et si la législation autorisant une telle communication prévoit des garanties appropriées pour les droits et les libertés des personnes concernées, au sens de l’article 10 de ce règlement, il y a lieu de vérifier en particulier si, eu égard à la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel causée par ladite communication, celle-ci apparaît justifiée, et notamment proportionnée, aux fins de la réalisation des objectifs poursuivis.

107

En l’occurrence, le Parlement letton, dans ses observations devant la juridiction de renvoi, et le gouvernement letton, dans ses observations devant la Cour, font valoir que la communication par la CSDD à toute personne qui en fait la demande des données à caractère personnel relatives aux points de pénalité relève de la mission d’intérêt public, qui incombe à cet organe, d’améliorer la sécurité routière et vise, dans ce contexte, notamment à permettre l’identification des conducteurs de véhicules qui enfreignent systématiquement les règles de la circulation routière et à influencer le comportement des usagers de la route en les incitant à un comportement conforme auxdites règles.

108

À cet égard, il y a lieu de rappeler que l’amélioration de la sécurité routière constitue un objectif d’intérêt général reconnu par l’Union (voir, en ce sens, arrêt du 23 avril 2015, Aykul, C‑260/13, EU:C:2015:257, point 69 et jurisprudence citée). Les États membres sont donc fondés à qualifier la sécurité routière de « mission d’intérêt public », au sens de l’article 6, paragraphe 1, sous e), du RGPD.

109

Cependant, afin de répondre aux conditions posées par cette dernière disposition, il est nécessaire que la communication des données à caractère personnel relatives aux points de pénalité inscrites dans le registre tenu par la CSDD réponde effectivement à l’objectif d’intérêt général d’amélioration de la sécurité routière, sans aller au-delà de ce qui est nécessaire pour réaliser cet objectif.

110

Ainsi que le souligne le considérant 39 du RGPD, cette exigence de nécessité n’est pas remplie lorsque l’objectif d’intérêt général visé peut raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires aux droits fondamentaux des personnes concernées, en particulier aux droits au respect de la vie privée et à la protection des données à caractère personnel garantis aux articles 7 et 8 de la Charte, les dérogations et les restrictions au principe de la protection de telles données devant s’opérer dans les limites du strict nécessaire (voir, en ce sens, arrêt du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA, C‑708/18, EU:C:2019:1064, points 46 et 47).

111

Or, ainsi qu’il ressort de la pratique des États membres, chacun d’entre eux dispose d’une multitude de voies d’actions parmi lesquelles figurent, notamment, celle consistant à réprimer de manière dissuasive les infractions routières, en particulier en privant les conducteurs concernés du droit de conduire un véhicule, la violation d’une telle interdiction pouvant, à son tour, être réprimée par des peines effectives, sans qu’il soit nécessaire de communiquer l’adoption de telles mesures au public. Il ressort également de cette pratique que de nombreuses mesures préventives peuvent, en outre, être adoptées, allant de campagnes de sensibilisation collective jusqu’à l’adoption de mesures individuelles consistant à contraindre un conducteur à suivre des formations et à se soumettre à des examens, sans qu’il soit nécessaire de communiquer l’adoption de telles mesures individuelles au public. Or, il ne ressort pas du dossier dont dispose la Cour que de telles mesures avaient été examinées et privilégiées par le législateur letton en lieu et place de l’adoption de la réglementation en cause au principal.

112

De plus, ainsi qu’il a été relevé au point 92 du présent arrêt, la communication au public des données à caractère personnel relatives aux infractions routières, y compris les données relatives aux points de pénalité imposés pour leur commission, est susceptible de constituer une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, dès lors qu’elle peut provoquer la désapprobation de la société et entraîner la stigmatisation de la personne concernée.

113

Compte tenu, d’une part, de la sensibilité des données en question et de la gravité de ladite ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des personnes concernées ainsi que, d’autre part, du fait que, eu égard aux constatations effectuées au point 111 du présent arrêt, il n’apparaît pas que l’objectif de l’amélioration de la sécurité routière ne puisse pas raisonnablement être atteint de manière aussi efficace par d’autres moyens moins attentatoires, la nécessité, pour assurer cet objectif, d’un tel régime de communication de données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières ne saurait être considérée comme étant établie (voir, par analogie, arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 86).

114

Ainsi, s’il peut être justifié de distinguer les conducteurs qui méconnaissent les règles de la circulation routière de manière systématique et de mauvaise foi par rapport aux conducteurs qui commettent occasionnellement des infractions, il ne saurait pour autant être considéré que l’identification de la première catégorie de ces conducteurs doive, aux fins de l’amélioration de la sécurité routière, être effectuée par ou partagée avec le grand public, de sorte qu’il est même permis de douter de l’aptitude de la réglementation en cause au principal d’atteindre le premier des objectifs évoqués au point 107 du présent arrêt.

115

Au demeurant, il ressort du dossier dont dispose la Cour que la CSDD communique au public non seulement les données relatives aux points de pénalité imposés aux conducteurs méconnaissant les règles de la circulation routière de manière systématique et de mauvaise foi, mais également celles relatives aux points de pénalité imposés aux conducteurs commettant occasionnellement des infractions. Il apparaît ainsi que, en prévoyant un accès généralisé du public aux points de pénalité, la réglementation en cause au principal va, en tout état de cause, au-delà de ce qui est nécessaire pour assurer l’objectif de combattre la méconnaissance systématique et de mauvaise foi des règles de la circulation routière.

116

En ce qui concerne le second des objectifs poursuivi par la réglementation en cause au principal, rappelé au point 107 du présent arrêt, il ressort dudit dossier que, si une tendance à la diminution du nombre d’accidents de la circulation a pu être observée en Lettonie, rien ne permet de conclure que cette tendance soit liée à la divulgation des informations relatives aux points de pénalité plutôt qu’à l’établissement du système des points de pénalité en tant que tel.

117

La conclusion énoncée au point 113 du présent arrêt n’est pas infirmée par la circonstance que la CSDD soumet, dans la pratique, la communication des données à caractère personnel en cause à la condition que le demandeur indique le numéro d’identification nationale du conducteur sur lequel il souhaite se renseigner.

118

En effet, à supposer même, comme l’a précisé le gouvernement letton, que la communication des numéros d’identification nationale par les organismes publics tenant les registres de la population soit soumise à des exigences strictes et satisfasse ainsi à l’article 87 du RGPD, il n’en demeure pas moins que la réglementation en cause au principal, telle qu’appliquée par la CSDD, permet à toute personne qui connaît le numéro d’identification national d’un conducteur déterminé d’obtenir, sans autre condition, les données à caractère personnel relatives aux points de pénalité ayant été imposés à ce conducteur. Un tel régime de divulgation est susceptible de conduire à une situation dans laquelle ces données sont communiquées à des personnes qui cherchent, pour des raisons étrangères à l’objectif d’intérêt général d’amélioration de la sécurité routière, à s’informer sur les points de pénalité ayant été imposés à une personne donnée.

119

La conclusion énoncée au point 113 du présent arrêt n’est pas non plus infirmée par la circonstance que le registre national des véhicules et de leurs conducteurs est un document officiel, au sens de l’article 86 du RGPD.

120

En effet, si l’accès du public aux documents officiels constitue, ainsi qu’il découle du considérant 154 de ce règlement, un intérêt public susceptible de légitimer la communication de données à caractère personnel figurant dans de tels documents, cet accès doit néanmoins être concilié avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, comme l’exige d’ailleurs expressément ledit article 86. Or, eu égard notamment à la sensibilité des données relatives aux points de pénalité imposés pour des infractions routières et à la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel des personnes concernées, que la divulgation de ces données provoque, il doit être considéré que ces droits prévalent sur l’intérêt du public à avoir accès aux documents officiels, notamment au registre national des véhicules et de leurs conducteurs.

121

En outre, pour cette même raison, le droit à la liberté d’information visé à l’article 85 du RGPD ne saurait être interprété en ce sens qu’il justifie la communication à toute personne qui en fait la demande de données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières.

122

Eu égard à tout ce qui précède, il y a lieu de répondre à la deuxième question que les dispositions du RGPD, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui‑ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui fait obligation à l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données accessibles au public, sans que la personne demandant l’accès ait à justifier d’un intérêt spécifique à obtenir lesdites données.

Sur la troisième question

123

Par sa troisième question, la juridiction de renvoi demande, en substance, si les dispositions du RGPD, notamment l’article 5, paragraphe 1, sous b), et l’article 10 de celui-ci, ainsi que l’article 1er, paragraphe 2, sous c quater), de la directive 2003/98 doivent être interprétés en ce sens qu’elles s’opposent à une législation nationale qui autorise l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières à communiquer ces données à des opérateurs économiques à des fins de réutilisation.

124

Ainsi que le souligne la juridiction de renvoi, cette question trouve son origine dans le fait que la CSDD conclut avec des opérateurs économiques des contrats en vertu desquels la première transmet aux seconds les données à caractère personnel relatives aux points de pénalité inscrites dans le registre national des véhicules et de leurs conducteurs, de manière, notamment, à ce que toute personne souhaitant se renseigner sur les points de pénalité imposés à un conducteur déterminé puisse obtenir ces données non seulement auprès de la CSDD mais également auprès de ces opérateurs économiques.

125

Il résulte de la réponse à la deuxième question que les dispositions du RGPD, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui fait obligation à l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données accessibles au public, sans que la personne demandant l’accès ait à justifier d’un intérêt spécifique à obtenir lesdites données.

126

Ces mêmes dispositions doivent, pour des raisons identiques à celles exposées dans la réponse à la deuxième question, être interprétées en ce sens qu’elles s’opposent également à une législation nationale qui autorise un organisme public à communiquer des données de cette nature à des opérateurs économiques afin que ces derniers puissent les réutiliser et les communiquer au public.

127

Enfin, en ce qui concerne l’article 1er, paragraphe 2, sous c quater), de la directive 2003/98, également visé par la troisième question posée, il y a lieu de constater que, comme l’a relevé M. l’avocat général aux points 128 et 129 de ses conclusions, cette disposition n’est pas pertinente pour déterminer si les règles du droit de l’Union en matière de protection des données à caractère personnel s’opposent à une législation telle que celle en cause au principal.

128

En effet, indépendamment du point de savoir si les données relatives aux points de pénalité imposés aux conducteurs pour des infractions routières relèvent ou non du champ d’application de la directive 2003/98, la portée de la protection de ces données doit, en tout état de cause, être déterminée sur le fondement du RGPD, ainsi qu’il découle, d’une part, du considérant 154 de ce règlement et, d’autre part, du considérant 21 et de l’article 1er, paragraphe 4, de cette directive, lus conjointement avec l’article 94, paragraphe 2, du RGPD, l’article 1er, paragraphe 4, de ladite directive prévoyant en substance que celle-ci laisse intact et n’affecte en rien le niveau de protection des personnes à l’égard du traitement des données à caractère personnel garanti notamment par le droit de l’Union et, en particulier, ne modifie en rien les droits et obligations prévus par le RGPD.

129

Eu égard à ce qui précède, il y a lieu de répondre à la troisième question que les dispositions du RGPD, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui autorise l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières à communiquer ces données à des opérateurs économiques à des fins de réutilisation.

Sur la quatrième question

130

Par sa quatrième question, la juridiction de renvoi demande, en substance, si le principe de primauté du droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce que la juridiction constitutionnelle d’un État membre, saisie d’un recours contre une législation nationale qui s’avère, à la lumière d’une décision de la Cour rendue sur renvoi préjudiciel, incompatible avec le droit de l’Union, décide, en application du principe de sécurité juridique, que les effets juridiques de cette législation soient maintenus jusqu’à la date de prononcé de l’arrêt par lequel elle statue définitivement sur ce recours constitutionnel.

131

Ainsi qu’il ressort de la décision de renvoi, cette question est posée en raison du nombre élevé des relations juridiques affectées par la réglementation nationale en cause au principal et du fait que, en vertu de l’article 32, paragraphe 3, de la loi sur la Cour constitutionnelle et de la jurisprudence y relative, la juridiction de renvoi, dans l’exercice de sa mission d’assurer un équilibre entre le principe de sécurité juridique et les droits fondamentaux des personnes concernées, peut limiter l’effet rétroactif de ses arrêts afin d’éviter que ceux-ci portent gravement atteinte aux droits d’autrui.

132

À cet égard, il y a lieu de rappeler que l’interprétation que la Cour donne des règles du droit de l’Union, dans l’exercice de la compétence que lui confère l’article 267 TFUE, éclaire et précise la signification et la portée de ces règles, telles qu’elles doivent ou auraient dû être comprises et appliquées depuis le moment de leur entrée en vigueur. Ce n’est qu’à titre exceptionnel que la Cour peut, par application d’un principe général de sécurité juridique inhérent à l’ordre juridique de l’Union, être amenée à limiter la possibilité pour tout intéressé d’invoquer une disposition qu’elle a interprétée en vue de mettre en cause des relations juridiques établies de bonne foi. Pour qu’une telle limitation puisse être décidée, il est nécessaire que deux critères essentiels soient réunis, à savoir la bonne foi des milieux intéressés et le risque de troubles graves (arrêts du 6 mars 2007, Meilicke, C‑292/04, EU:C:2007:132, points 34 et 35 ; du 22 janvier 2015, Balazs, C‑401/13 et C‑432/13, EU:C:2015:26, points 49 et 50, ainsi que du 29 septembre 2015, Gmina Wrocław, C‑276/14, EU:C:2015:635, points 44 et 45).

133

Une telle limitation ne peut être admise, selon la jurisprudence constante de la Cour, que dans l’arrêt même qui statue sur l’interprétation sollicitée. En effet, il faut nécessairement un moment unique de détermination des effets dans le temps de l’interprétation sollicitée que donne la Cour d’une disposition du droit de l’Union. Le principe qu’une limitation ne peut être admise que dans l’arrêt même qui statue sur l’interprétation sollicitée garantit l’égalité de traitement des États membres et des autres justiciables face à ce droit et remplit par là même les exigences découlant du principe de sécurité juridique (arrêt du 6 mars 2007, Meilicke, C‑292/04, EU:C:2007:132, points 36 et 37 ; voir, en ce sens, arrêts du 23 octobre 2012, Nelson e.a., C‑581/10 et C‑629/10, EU:C:2012:657, point 91, ainsi que du 7 novembre 2018, O’Brien, C‑432/17, EU:C:2018:879, point 34).

134

Par conséquent, les effets dans le temps d’une décision rendue par la Cour sur renvoi préjudiciel ne sauraient dépendre de la date de prononcé de l’arrêt par lequel la juridiction de renvoi statue définitivement sur l’affaire au principal, ni même de l’appréciation par celle-ci de la nécessité de préserver les effets juridiques de la réglementation nationale en cause.

135

En vertu du principe de primauté du droit de l’Union, il ne saurait, en effet, être admis que des règles de droit national, fussent-elles d’ordre constitutionnel, portent atteinte à l’unité et à l’efficacité de ce droit (voir, en ce sens, arrêts du 26 février 2013, Melloni, C‑399/11, EU:C:2013:107, point 59, ainsi que du 29 juillet 2019, Pelham e.a., C‑476/17, EU:C:2019:624, point 78). À supposer même que des considérations impérieuses de sécurité juridique soient de nature à conduire, à titre exceptionnel, à une suspension provisoire de l’effet d’éviction exercé par une règle de droit de l’Union directement applicable à l’égard du droit national contraire à celle-ci, les conditions d’une telle suspension ne peuvent être déterminées que par la Cour (voir, en ce sens, arrêt du 8 septembre 2010, Winner Wetten, C‑409/06, EU:C:2010:503, points 61 et 67).

136

En l’occurrence, l’existence d’un risque de troubles graves découlant de l’interprétation retenue par la Cour dans le présent arrêt n’étant pas démontrée, il n’y a pas lieu de limiter dans le temps les effets de celui‑ci, les critères évoqués au point 132 du présent arrêt étant cumulatifs.

137

Eu égard à ce qui précède, il y a lieu de répondre à la quatrième question que le principe de primauté du droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce que la juridiction constitutionnelle d’un État membre, saisie d’un recours contre une législation nationale qui s’avère, à la lumière d’une décision de la Cour rendue sur renvoi préjudiciel, incompatible avec le droit de l’Union, décide, en application du principe de sécurité juridique, que les effets juridiques de cette législation soient maintenus jusqu’à la date de prononcé de l’arrêt par lequel elle statue définitivement sur ce recours constitutionnel.

Sur les dépens

138

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

 

Par ces motifs, la Cour (grande chambre) dit pour droit :

 

1)

L’article 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens qu’il s’applique au traitement des données à caractère personnel relatives aux points de pénalité imposés aux conducteurs de véhicules pour des infractions routières.

 

2)

Les dispositions du règlement (UE) 2016/679, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui fait obligation à l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières de rendre ces données accessibles au public, sans que la personne demandant l’accès ait à justifier d’un intérêt spécifique à obtenir lesdites données.

 

3)

Les dispositions du règlement (UE) 2016/679, notamment l’article 5, paragraphe 1, l’article 6, paragraphe 1, sous e), et l’article 10 de celui-ci, doivent être interprétées en ce sens qu’elles s’opposent à une législation nationale qui autorise l’organisme public chargé du registre dans lequel sont inscrits les points de pénalité imposés aux conducteurs de véhicules pour des infractions routières à communiquer ces données à des opérateurs économiques à des fins de réutilisation.

 

4)

Le principe de primauté du droit de l’Union doit être interprété en ce sens qu’il s’oppose à ce que la juridiction constitutionnelle d’un État membre, saisie d’un recours contre une législation nationale qui s’avère, à la lumière d’une décision de la Cour rendue sur renvoi préjudiciel, incompatible avec le droit de l’Union, décide, en application du principe de sécurité juridique, que les effets juridiques de cette législation soient maintenus jusqu’à la date de prononcé de l’arrêt par lequel elle statue définitivement sur ce recours constitutionnel.

 

Signatures


( *1 ) Langue de procédure : le letton.

Top