Les juridictions belges semblent être une source inépuisable d’évolutions et d’enrichissements de la jurisprudence européenne (CEDH et CJUE) du droit à l’effacement.
Dans notre News Droit de la Presse & Réseaux sociaux du 26 juillet 2023, nous avions déjà évoqué un arrêt de Grande Chambre du 4 juillet 2023 de la Cour européenne des Droits de l’Homme qui avait confirmé la position des juridictions belges ; lesquelles avaient jugé que « l’archivage électronique d’un article relatif (…) ne doit pas créer (…) une sorte de « casier judiciaire virtuel » ».
Dans la décision qui nous intéresse ici, la Cour de Justice de l’Union Européenne (CJUE, 11 janvier 2024, aff. C-231/22) aborde un aspect bien plus spécifique du droit à l’effacement défini à l’article 17 du règlement général sur la protection des données[1] (RGPD).
En effet, sur renvoi préjudiciel au titre de l’article 267 TFUE, introduit par la Cour d’appel de Bruxelles, la CJUE s’est prononcée sur une demande « présentée dans le cadre d’un litige opposant l’État belge à l’Autorité de protection des données (Belgique) (ci-après l’« APD »), qui est l’autorité de contrôle instituée en Belgique en vertu de l’article 51 du RGPD, au sujet d’une décision par laquelle cette autorité a enjoint à l’autorité gérant le Moniteur belge, le Journal officiel qui assure, dans cet État membre, la production et la diffusion d’un large éventail de publications officielles et publiques sur papier et par voie électronique, de donner suite à l’exercice, par une personne physique, de son droit à l’effacement concernant plusieurs données à caractère personnel figurant dans un acte publié dans ce Journal officiel. ».
En l’espèce, si la Cour d’appel de Bruxelles a décidé de surseoir à statuer et de poser deux questions préjudicielles à la CJUE, c’est précisément pour connaître son interprétation de l’article 4 point 7 du RGPD qui définit la qualité de « responsable de traitement » et les éventuelles conséquences de son application à l’organisme chargé du journal officiel d’un Etat membre, au regard des dispositions de l’article 5 § 2 dudit règlement ; lequel fait peser sur le « responsable du traitement » la « responsabilité » d’un traitement respectant les obligations du RGPD prévues au § 1 du même article.
Un journal officiel opérant une simple publication est un « responsable de traitement » au sens du RGPD
Dans cette affaire, le « Moniteur belge » a simplement effectué, en application de dispositions légales, la publication numérique d’un document papier – un extrait de décision, préparé un notaire, de l’assemblée générale d’une société portant réduction de son capital social – qui lui avait été transmis par un tribunal ; extrait comportant, à la suite d’une erreur du notaire, des données à caractère personnel qui n’auraient pas dû y figurer :
« Le même extrait contient la décision de réduire le capital de ladite société, le montant initial de ce capital, le montant de la réduction concernée ainsi que le nouveau montant du capital social et le nouveau texte des statuts de la même société. Il contient également un passage dans lequel sont indiqués le nom des deux associés de cette dernière, dont celui de la personne physique mentionnée au point 13 du présent arrêt, les montants qui leur ont été remboursés ainsi que leurs numéros de compte bancaire (ci-après le « passage en cause au principal »). »
Pour répondre à la question de savoir si le « Moniteur belge » revêt ou non la qualité de responsable de traitement, la CJUE relève, après avoir constaté un « traitement » de données personnelles, que l’absence de contrôle du contenu du document publié ou de pouvoir de modification de celui-ci n’est pas de nature à priver ce journal officiel de la qualité de « responsable de traitement » au sens de l’article 4 point 7 du RGPD :
« le fait que, en vertu du droit national, le Moniteur belge ne contrôle pas, avant leur publication dans ce Journal officiel, les données à caractère personnel figurant dans les actes et les documents reçus par ledit Journal officiel ne saurait avoir une incidence sur le point de savoir si le Moniteur belge peut être qualifié de responsable du traitement. En effet, s’il est vrai que le Moniteur belge doit publier le document concerné tel quel, c’est lui seul qui assume cette tâche et diffuse ensuite l’acte ou le document concerné. D’une part, la publication de tels actes et de tels documents sans possibilité de contrôle ni de modification de leur contenu est intrinsèquement liée aux finalités et aux moyens du traitement déterminés par le droit national, en ce que le rôle d’un Journal officiel tel que le Moniteur belge se limite à informer le public de l’existence de ces actes et de ces documents, tels qu’ils sont transmis à ce Journal officiel sous la forme de copie conformément au droit national applicable, de manière à les rendre opposables aux tiers. D’autre part, il serait contraire à l’objectif de l’article 4, point 7, du RGPD, visé au point 28 du présent arrêt, d’exclure de la notion de « responsable du traitement » le Journal officiel d’un État membre au motif que ce dernier n’exerce pas de contrôle sur les données à caractère personnel figurant dans ses publications (voir, par analogie, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 34). »[2]
Une responsabilité à définir au regard des dispositions du droit national
Pour ce qui est de déterminer sur qui pèse – dans une telle situation où une série de traitements de données personnelles a été effectuée par plusieurs « responsables » – la « responsabilité » du respect des obligations définies au § 1 de l’article 5 du RGPD (objet de la seconde question préjudicielle posée par la Cour d’appel de Bruxelles), la CJUE s’est demandée si le journal officiel, pourtant intervenu en bout de chaîne, est le seul responsable :
« la juridiction de renvoi demande, en substance, si l’article 5, paragraphe 2, du RGPD doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, du RGPD, doit être tenu pour seul responsable du respect des principes visés à l’article 5, paragraphe 1, du RGPD ou bien si ce respect incombe de manière cumulative à ce service ou à cet organisme et aux entités publiques tierces qui ont traité préalablement les données à caractère personnel figurant dans les actes et les documents publiés par ce Journal officiel. »
La CJUE renvoie dans sa réponse au droit national.
En effet, si :
- d’abord, la Cour précise que « le Moniteur belge doit être considéré comme étant, en vertu de l’article 5, paragraphe 2, du RGPD, responsable du respect des principes visés au paragraphe 1 de cet article, en ce qui concerne les traitements qu’il est tenu d’effectuer en vertu du droit national, et, partant, de l’ensemble des obligations imposées au responsable du traitement par le RGPD » ;
- elle ajoute, ensuite, que dès lors que « l’article 26, paragraphe 1, du RGPD prévoit une responsabilité conjointe lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens d’un traitement de données à caractère personnel », il convient de se rapporter aux dispositions du droit national applicables pour savoir si des responsabilités conjointes sont prévues. A défaut, le journal officiel pourrait être tenu seul responsable du respect des principes fixés à l’article 5 § 1 du RGPD et ce quand bien même il ne serait pas l’unique « responsable de traitement » des données personnelles en cause :
« Il résulte des points 44 à 48 du présent arrêt que, en vertu des dispositions combinées de l’article 26, paragraphe 1, et de l’article 4, point 7, du RGPD, la responsabilité conjointe de plusieurs acteurs d’une chaîne de traitements portant sur les mêmes données à caractère personnel peut être établie par le droit national pour autant que les différentes opérations de traitement soient unies par des finalités et des moyens déterminés par ce droit et que celui-ci définisse les obligations respectives de chacun des responsables conjoints du traitement. Il convient de préciser qu’une telle détermination des finalités et des moyens unissant les différents traitements opérés par plusieurs acteurs d’une chaîne ainsi que des obligations respectives de ceux-ci peut être effectuée non seulement de manière directe, mais également de manière indirecte par le droit national, à condition, dans ce dernier cas de figure, qu’elle puisse se déduire de manière suffisamment explicite des dispositions légales régissant les personnes ou les entités concernées ainsi que le traitement des données à caractère personnel qu’elles opèrent dans le cadre de la chaîne de traitements imposée par ce droit.
(…)
Eu égard aux motifs qui précèdent, il y a lieu de répondre à la seconde question que l’article 5, paragraphe 2, du RGPD, lu en combinaison avec l’article 4, point 7, et l’article 26, paragraphe 1, de celui-ci, doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qualifié de « responsable du traitement », au sens de l’article 4, point 7, de ce règlement, est seul responsable du respect des principes visés à l’article 5, paragraphe 1, de celui-ci en ce qui concerne les opérations de traitement des données à caractère personnel qu’il est tenu d’effectuer en vertu du droit national, à moins qu’une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit. »
On retiendra donc, à la lecture de cet arrêt de la CJUE, que la portée du droit à l’effacement s’avère d’autant plus grande que la qualité de « responsable de traitement » s’apprécie largement.
C’est bien le sens de la jurisprudence de la Cour de Justice de l’Union Européenne.
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[2] Mis en gras par nos soins.