B v Latvijas Republikas Saeima.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2021:504
• Date: 22 June 2021
• Docket Number: C-439/19
• Celex Number: 62019CJ0439
• Court: Court of Justice (European Union)

ARRÊT DE LA COUR (grande chambre)

22 juin 2021 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 5, 6 et 10 – Législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières – Licéité – Notion de “données à caractère personnel relatives aux condamnations pénales et aux infractions” – Divulgation aux fins d’améliorer la sécurité routière – Droit d’accès du public aux documents officiels – Liberté d’information – Conciliation avec les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel – Réutilisation des données – Article 267 TFUE – Effets dans le temps d’une décision préjudicielle – Possibilité pour une juridiction constitutionnelle d’un État membre de maintenir les effets juridiques d’une législation nationale non compatible avec le droit de l’Union – Principes de primauté du droit de l’Union et de sécurité juridique »

Dans l’affaire C‑439/19,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Latvijas Republikas Satversmes tiesa (Cour constitutionnelle, Lettonie), par décision du 4 juin 2019, parvenue à la Cour le 11 juin 2019, dans la procédure engagée par

B

en présence de :

Latvijas Republikas Saeima,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, Mme R. Silva de Lapuerta, vice-présidente, MM. J.‑C. Bonichot, A. Arabadjiev, E. Regan, M. Ilešič (rapporteur) et N. Piçarra, présidents de chambre, MM. E. Juhász, M. Safjan, D. Šváby, S. Rodin, F. Biltgen, Mme K. Jürimäe, MM. C. Lycourgos et P. G. Xuereb, juges,

avocat général : M. M. Szpunar,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour le gouvernement letton, initialement par Mmes V. Soņeca et K. Pommere, puis par Mme K. Pommere, en qualité d’agents,

– pour le gouvernement néerlandais, par Mmes M. K. Bulterman et M. Noort, en qualité d’agents,

– pour le gouvernement autrichien, par Mme J. Schmoll et M. G. Kunnert, en qualité d’agents,

– pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes P. Barros da Costa, A. C. Guerra et I. Oliveira, en qualité d’agents,

– pour le gouvernement suédois, par Mmes C. Meyer-Seitz, H. Shev, H. Eklinder, R. Shahsavan Eriksson, A. Runeskjöld et M. Salborn Hodgson ainsi que par MM. O. Simonsson et J. Lundberg, en qualité d’agents,

– pour la Commission européenne, par MM. D. Nardi et H. Kranenborg ainsi que par Mme I. Rubene, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 17 décembre 2020,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation des articles 5, 6 et 10 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), de l’article 1er, paragraphe 2, sous c quater), de la directive 2003/98/CE du Parlement européen et du Conseil, du 17 novembre 2003, concernant la réutilisation des informations du secteur public (JO 2003, L 345, p. 90), telle que modifiée par la directive 2013/37/UE du Parlement européen et du Conseil, du 26 juin 2013 (JO 2013, L 175, p. 1) (ci-après la « directive 2003/98 »), ainsi que des principes de primauté du droit de l’Union et de sécurité juridique.

2 Cette demande a été présentée dans le cadre d’une procédure engagée par B au sujet de la légalité d’une législation nationale prévoyant l’accès du public aux données à caractère personnel relatives aux points de pénalité imposés pour des infractions routières.

Le cadre juridique

Le droit de l’Union

La directive 95/46/CE

3 La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), a été abrogée, avec effet au 25 mai 2018, par le RGPD. L’article 3 de cette directive, intitulé « Champ d’application », était libellé comme suit : « 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. La présente directive ne s’applique pas au traitement de données à caractère personnel : – mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité [UE, dans sa version antérieure au traité de Lisbonne], et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal, […] »

Le RGPD

4 Les considérants 1, 4, 10, 16, 19, 39, 50 et 154 du RGPD énoncent : « (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne (ci–après [la] « Charte ») et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant. [...] (4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique. [...] (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...] [...] (16) Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union. [...] (19) La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l’objet d’un acte juridique spécifique de l’Union. Le présent règlement ne devrait dès lors pas s’appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu’elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil[, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89)]. [...] [...] (39) [...] En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. [...] Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...] [...] (50) Le traitement de données à caractère personnel pour d’autres finalités que celles pour...