Opinion of Advocate General Szpunar delivered on 11 July 2024.

• Jurisdiction: European Union
• Celex Number: 62023CC0394
• ECLI: ECLI:EU:C:2024:610
• Date: 11 July 2024
• Court: Court of Justice (European Union)

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MACIEJ SZPUNAR

présentées le 11 juillet 2024 (1)

Affaire C‑394/23

Association Mousse

contre

Commission nationale de l’informatique et des libertés (CNIL),

SNCF Connect

[demande de décision préjudicielle formée par le Conseil d’État (France)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1 – Principe de licéité du traitement – Article 5, paragraphe 1, sous c) – Principe de minimisation des données – Civilité – Achat de prestation de service de transport en ligne – Article 21 – Droit d’opposition »

I. Introduction

1. Le règlement (UE) 2016/679 (2) (ci-après le « RGPD ») vise à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel. Pour ce faire, il impose aux responsables du traitement de respecter un certain nombre de principes lorsqu’ils traitent des données à caractère personnel, parmi lesquels le principe dit de « minimisation des données » et le principe de licéité du traitement.

2. Ces deux principes sont au cœur de la présente affaire, relative à un litige opposant une association à une autorité de contrôle nationale, au sujet du traitement, par une entreprise de transport, des données de civilité de ses clients dans le but affirmé d’en faire usage dans leur communication commerciale, et qui offre ainsi à la Cour l’opportunité d’en préciser la portée.

II. Le cadre juridique

A. Le droit de l’Union

3. Les considérants 4, 10, 39, 40, 44, 47, 69 et 75 du RGPD énoncent :

« (4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la [charte des droits fondamentaux de l’Union européenne (ci-après la “Charte”)], consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.

[...]

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

[...]

(39) [...] Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. [...] Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. [...]

(40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit le présent règlement, y compris [...] la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée.

[...]

(44) Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de l’intention de conclure un contrat.

[...]

(47) Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement [...] En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. [...] Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

[...]

(69) Lorsque des données à caractère personnel pourraient être traitées de manière licite parce que le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement ou d’un tiers, les personnes concernées devraient néanmoins avoir le droit de s’opposer au traitement de toute donnée à caractère personnel en rapport avec leur situation particulière. Il devrait incomber au responsable du traitement de prouver que ses intérêts légitimes impérieux prévalent sur les intérêts ou les libertés et droits fondamentaux de la personne concernée.

[...]

(75) Des risques pour les droits et libertés des personnes physiques, dont le degré de probabilité et de gravité varie, peuvent résulter du traitement de données à caractère personnel qui est susceptible d’entraîner des dommages physiques, matériels ou un préjudice moral, en particulier : lorsque le traitement peut donner lieu à une discrimination [...] »

4. Aux termes de son article 2, paragraphe 1, le RGPD s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

5. L’article 4 du RGPD, intitulé « Définitions », dispose :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable [...]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement [...]

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; [...]

[...]

11) “consentement” de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ;

[...] »

6. L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

[...] »

7. L’article 6 du RGPD, intitulé « Licéité du traitement », dispose, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment...