Conclusiones del Abogado General Sr. M. Campos Sánchez-Bordona, presentadas el 19 de mayo de 2022.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2022:406
• Celex Number: 62021CC0180
• Date: 19 May 2022
• Court: Court of Justice (European Union)

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 19 mai 2022 (1)

Affaire C‑180/21

VS

contre

Inspektor v Inspektorata kam Visshia sadeben savet,

Autre partie :

Teritorialno otdelenie – Petrich kam Rayonna prokuratura – Blagoevgrad

[Demande de décision préjudicielle introduite par l’Administrativen sad – Blagoevgrad (Tribunal administratif de Blagoevgrad, Bulgarie)]

« Question préjudicielle – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 6 – Directive (UE) 2016/680 – Articles 1, 2 à 4 et 9 – Légitimation du traitement des données personnelles dans le cadre d’une procédure pénale – Traitement des données relatives à la victime d’une infraction pénale aux fins de son accusation ultérieure et de la défense du parquet dans une procédure civile – Notion de “fins autres que celles pour lesquelles elles avaient été collectées”»

1. L’un des principes de base du règlement (UE) 2016/679 (2), qui constitue la règlementation générale en matière de protection des données à caractère personnel, et de la directive (UE) 2016/680 (3) (lex specialis dans le même domaine pour ce qui concerne les procédures pénales) est celui consistant à limiter la collecte desdites données et leur traitement aux fins spécifiques prévues par la loi.

2. Dans la présente affaire, la Cour de justice est appelée à répondre aux doutes d’une juridiction bulgare sur l’interprétation du RGPD et de la directive 2016/680, afin de clarifier si l’on est en présence d’un traitement illicite des données à caractère personnel détenues par le parquet d’un État membre, lorsque :

— d’une part, lesdites données ont été obtenues d’une personne qui apparaissait initialement en tant que victime, mais qui a été accusée ensuite dans le cadre de la même procédure pénale ;

— d’autre part, le parquet cherche à utiliser, pour sa défense, les données obtenues au cours de différentes procédures pénales, en tant que moyen de preuve dans le cadre d’une action civile par laquelle son auteur tend à obtenir des dommages-intérêts pour la durée excessive de la procédure pénale.

A. Le cadre juridique. Le droit de l’Union

1. Le RGPD

3. En vertu de l’article 2 (« Champ d’application matériel ») :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[…]

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

[…] ».

4. L’article 4 (« Définitions ») dispose :

« Aux fins du présent règlement, on entend par :

[…]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[…]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[…] ».

5. L’article 5 (« Principes relatifs au traitement des données à caractère personnel ») prévoit :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[…] ».

6. Aux termes de l’article 6 (« Licéité du traitement ») :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[…]

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

[…]

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement […]. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

2. La directive 2016/680

7. En vertu de l’article 1^er (« Objet et objectifs ») :

« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

2. Conformément à la présente directive, les États membres :

a) protègent les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel […]

[…] ».

8. L’article 2 (« Champ d’application ») dispose :

« 1. La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1^er, paragraphe 1.

[…]

3. La présente directive ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[…] ».

9. L’article 3, paragraphes 1, 2 et 8, fait siennes les définitions de l’article 4, paragraphes 1, 2 et 7, du RGPD.

10. L’article 4 (« Principes relatifs au traitement des données à caractère personnel ») prévoit :

« […]

2. Le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1^er, paragraphe 1, autre que celles pour...