UZ v Bundesrepublik Deutschland.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2023:373
• Date: 04 May 2023
• Docket Number: C-60/22
• Celex Number: 62022CJ0060
• Court: Court of Justice (European Union)

ARRÊT DE LA COUR (cinquième chambre)

4 mai 2023 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 5 – Principes relatifs au traitement – Responsabilité du traitement – Article 6 – Licéité du traitement – Dossier électronique relatif à une demande d’asile établi par une autorité administrative – Transmission à la juridiction nationale compétente via une boîte postale électronique – Violation des articles 26 et 30 – Absence d’accord déterminant la responsabilité conjointe du traitement et de la tenue du registre des activités de traitement – Conséquences – Article 17, paragraphe 1 – Droit à l’effacement (“droit à l’oubli”) – Article 18, paragraphe 1 – Droit à la limitation du traitement – Notion de “traitement illicite” – Prise en compte du dossier électronique par une juridiction nationale – Absence de consentement de la personne concernée »

Dans l’affaire C‑60/22,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), par décision du 27 janvier 2022, parvenue à la Cour le 1er février 2022, dans la procédure

UZ

contre

Bundesrepublik Deutschland,

LA COUR (cinquième chambre),

composée de M. E. Regan (rapporteur), président de chambre, MM. D. Gratsias, M. Ilešič, I. Jarukaitis et Z. Csehi, juges,

avocat général : Mme T. Ćapeta,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

– pour UZ, par Me J. Leuschner, Rechtsanwalt,

– pour le gouvernement allemand, par MM. J. Möller et P.-L. Krüger, en qualité d’agents,

– pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,

– pour le gouvernement français, par Mme A.-L. Desjonquères et M. J. Illouz, en qualité d’agents,

– pour le gouvernement autrichien, par M. A. Posch ainsi que par Mmes M.–T. Rappersberger et J. Schmoll, en qualité d’agents,

– pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

– pour la Commission européenne, par MM. A. Bouchagiar, F. Erlbacher et H. Kranenborg, en qualité d’agents,

vu la décision prise, l’avocate générale entendue, de juger l’affaire sans conclusions,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation de l’article 5, de l’article 17, paragraphe 1, sous d), de l’article 18, paragraphe 1, sous b), ainsi que des articles 26 et 30 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2, ci–après le « RGPD »).

2 Cette demande a été présentée dans le cadre d’un litige opposant UZ, un ressortissant de pays tiers, à la Bundesrepublik Deutschland (République fédérale d’Allemagne), représentée par le Bundesamt für Migration und Flüchtlinge (Office fédéral des migrations et des réfugiés, Allemagne) (ci-après l’« Office fédéral »), au sujet du traitement de la demande de protection internationale introduite par ce ressortissant.

Le cadre juridique

Le droit de l’Union

La directive 2013/32/UE

3 Le considérant 52 de la directive 2013/32/UE du Parlement européen et du Conseil, du 26 juin 2013, relative à des procédures communes pour l’octroi et le retrait de la protection internationale (refonte) (JO 2013, L 180, p. 60), est ainsi libellé : « La directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données [(JO 1995, L 281, p. 31)] régit le traitement des données à caractère personnel effectué dans les États membres en vertu de la présente directive. »

Le RGPD

4 Les considérants 1, 10, 40, 74, 79 et 82 du RGPD sont ainsi libellés : « (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne [...] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant. [...] (10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...] [...] (40) Pour être licite, le traitement de données à caractère personnel devrait être fondé sur le consentement de la personne concernée ou reposer sur tout autre fondement légitime prévu par la loi, soit dans le présent règlement soit dans une autre disposition du droit national ou du droit de l’Union, ainsi que le prévoit le présent règlement, y compris la nécessité de respecter l’obligation légale à laquelle le responsable du traitement est soumis ou la nécessité d’exécuter un contrat auquel la personne concernée est partie ou pour prendre des mesures précontractuelles à la demande de la personne concernée. [...] (74) Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. [...] (79) La protection des droits et libertés des personnes concernées, de même que la responsabilité des responsables du traitement et des sous-traitants, y compris dans le cadre de la surveillance exercée par les autorités de contrôle et des mesures prises par celles-ci, exige une répartition claire des responsabilités au titre du présent règlement, y compris lorsque le responsable du traitement détermine les finalités et les moyens du traitement conjointement avec d’autres responsables du traitement, ou lorsqu’une opération de traitement est effectuée pour le compte d’un responsable du traitement. [...] (82) Afin de démontrer qu’il respecte le présent règlement, le responsable du traitement ou le sous-traitant devrait tenir des registres pour les activités de traitement relevant de sa responsabilité. Chaque responsable du traitement et sous-traitant devrait être tenu de coopérer avec l’autorité de contrôle et de mettre ces registres à la disposition de celle-ci, sur demande, pour qu’ils servent au contrôle des opérations de traitement. »

5 Le chapitre I du RGPD, intitulé « Dispositions générales », comporte les articles 1er à 4.

6 Aux termes de l’article 1er de ce règlement, intitulé « Objet et objectifs » : « 1. Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données. 2. Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. [...] »

7 L’article 4 dudit règlement, intitulé « Définitions », dispose, à ses points 2, 7 et 21 : « 2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ; [...] 7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ; [...] 21) “autorité de contrôle”, une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 ; [...] »

8 Le chapitre II du RGPD, intitulé « Principes », comporte les articles 5 à 11.

9 ...