Your World of Legal Intelligence
 European Union | 1-800-335-6202

Österreichische Datenschutzbehörde v WK and Präsident des Nationalrates.

Judgment Cited authorities 31 Cited in Precedent Map Related
Vincent
JurisdictionEuropean Union
ECLIECLI:EU:C:2024:46
Date16 January 2024
Docket NumberC-33/22
Celex Number62022CJ0033
CourtCourt of Justice (European Union)
62022CJ0033

ARRÊT DE LA COUR (grande chambre)

16 janvier 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Article 16 TFUERèglement (UE) 2016/679 – Article 2, paragraphe 2, sous a) – Champ d’application – Exclusions – Activités qui ne relèvent pas du champ d’application du droit de l’Union – Article 4, paragraphe 2, TUE – Activités relatives à la sécurité nationale – Commission d’enquête instituée par le parlement d’un État membre – Article 23, paragraphe 1, sous a) et h), articles 51 et 55 du règlement (UE) 2016/679 – Compétence de l’autorité de contrôle chargée de la protection des données – Article 77 – Droit d’introduire une réclamation auprès d’une autorité de contrôle – Effet direct »

Dans l’affaire C‑33/22,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgerichtshof (Cour administrative, Autriche), par décision du 14 décembre 2021, parvenue à la Cour le 14 janvier 2022, dans la procédure

Österreichische Datenschutzbehörde

contre

WK,

en présence de :

Präsident des Nationalrates,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. L. Bay Larsen, vice‑président, Mme K. Jürimäe, MM. C. Lycourgos, E. Regan et N. Piçarra, présidents de chambre, MM. M. Ilešič, P. G. Xuereb, Mme L. S. Rossi (rapporteure), MM. I. Jarukaitis, A. Kumin, N. Jääskinen, N. Wahl, Mme I. Ziemele et M. J. Passer, juges,

avocat général : M. M. Szpunar,

greffier : M. D. Dittert, chef d’unité,

vu la procédure écrite et à la suite de l’audience du 6 mars 2023,

considérant les observations présentées :

pour l’Österreichische Datenschutzbehörde, par Mme A. Jelinek et M. M. Schmidl, en qualité d’agents,

pour WK, par Me M. Sommer, Rechtsanwalt,

pour le Präsident des Nationalrates, par Mmes C. Neugebauer et R. Posnik, en qualité d’agents,

pour le gouvernement autrichien, par M. A. Posch, Mmes J. Schmoll, S. Dörnhöfer et C. Leeb, en qualité d’agents,

pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,

pour la Commission européenne, par M. A. Bouchagiar, Mme M. Heller et M. H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 11 mai 2023,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 16, paragraphe 2, première phrase, TFUE ainsi que de l’article 2, paragraphe 2, sous a), de l’article 51, paragraphe 1, de l’article 55, paragraphe 1, et de l’article 77, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

2

Cette demande a été présentée dans le cadre d’un litige opposant l’Österreichische Datenschutzbehörde (Autorité de la protection des données, Autriche) (ci-après la « Datenschutzbehörde ») à WK au sujet du rejet de la réclamation introduite par ce dernier contre une violation alléguée de son droit à la protection de ses données à caractère personnel.

Le cadre juridique

Le droit de l’Union

3

Les considérants 16, 20 et 117 du RGPD sont ainsi libellés :

« (16)

Le présent règlement ne s’applique pas à des questions de protection des libertés et droits fondamentaux ou de libre flux des données à caractère personnel concernant des activités qui ne relèvent pas du champ d’application du droit de l’Union, telles que les activités relatives à la sécurité nationale. Le présent règlement ne s’applique pas au traitement des données à caractère personnel par les États membres dans le contexte de leurs activités ayant trait à la politique étrangère et de sécurité commune de l’Union.

[...]

(20)

Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données.

[...]

(117)

La mise en place d’autorités de contrôle dans les États membres, habilitées à exercer leurs missions et leurs pouvoirs en toute indépendance, est un élément essentiel de la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Les États membres devraient pouvoir mettre en place plusieurs autorités de contrôle en fonction de leur structure constitutionnelle, organisationnelle et administrative. »

4

L’article 2 du RGPD, intitulé « Champ d’application matériel », prévoit :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)

dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b)

par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;

[...]

d)

par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

3. Le règlement (CE) no 45/2001 [du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1),] s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement (CE) no 45/2001 et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.

[...] »

5

L’article 4 du RGPD, intitulé « Définitions », se lit comme suit :

« Aux fins du présent règlement, on entend par :

[...]

7)

“responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[...] »

6

L’article 23 du RGPD, intitulé « Limitations », dispose, à son paragraphe 1 :

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

a)

la sécurité nationale ;

b)

la défense nationale ;

c)

la sécurité publique ;

d)

la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

e)

d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;

f)

la protection de l’indépendance de la justice et des procédures judiciaires ;

[...]

h)

une mission de contrôle, d’inspection ou de réglementation liée, même occasionnellement, à l’exercice de l’autorité publique, dans les cas visés aux points a) à e) et g) ;

i)

la...

To continue reading

Request your trial

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT