CJUE, n° C-175/20, Arrêt de la Cour, « SS » SIA contre Valsts ieņēmumu dienests, 24 février 2022

Principes, objectifs et missions des traités·
Politique intérieure de l'Union européenne·
Rapprochement des législations·
Mesures de rapprochement·
Protection des données·
Traitement de données·
Responsable du traitement·
Règlement·
Caractère·
Personnel

Chronologie de l’affaire

Commentaires • 3

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Conclusions du rapporteur public sur l'affaire n°466115

Conclusions du rapporteur public · 30 janvier 2024

N° 466115 Association des Américains accidentels 10ème et 9ème chambres réunies Séance du 17 janvier 2024 Décision du 30 janvier 2024 CONCLUSIONS M. Laurent DOMINGO, Rapporteur public Le Foreign Account Tax Compliance Act (FATCA) est un Chapitre du Code fédéral de l'impôt sur le revenu américain de 1986, ajouté par le Hiring Incentives to Restore Employment Act (HIRE) du 18 mars 2010. En substance, il impose, dans un but de lutte contre l'évasion fiscale, aux établissements bancaires dans le monde de transmettre à l'administration américaine des impôts (Internal Revenue Service, IRS) des …

2. [Brèves] Appréciation de la conformité des visites et saisies domiciliaires réalisées par l'administration fiscale au regard du Règlement RGPDAccès limité

Maxime Loriot · Lexbase · 21 juin 2023

3. RGPD / Administration fiscale / Plateforme de vente en ligne / Collecte des données / Arrêt de la Cour (Leb 970)

www.dbfbruxelles.eu · 4 mars 2022

Voir le LEB Une administration fiscale nationale peut collecter des données auprès de plateformes de vente en ligne afin de lutter contre les abus et sous réserve de respecter le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») (24 février) Arrêt Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales), aff. C-175/20 Saisie par l'Administratīvā apgabaltiesa (Lettonie), la Cour de justice de l'Union européenne estime que la …

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Sur la décision

Référence :	CJUE, Cour, 24 févr. 2022, C-175/20
Numéro(s) :	C-175/20
Arrêt de la Cour (cinquième chambre) du 24 février 2022.#« SS » SIA contre Valsts ieņēmumu dienests.#Demande de décision préjudicielle, introduite par l'Administratīvā apgabaltiesa.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 2 – Champ d’application – Article 4 – Notion de “traitement” – Article 5 – Principes relatifs au traitement – Limitation des finalités – Minimisation des données – Article 6 – Licéité du traitement – Traitement nécessaire à l’exécution d’une mission d’intérêt public dont est investi le responsable du traitement – Traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis – Article 23 – Limitations – Traitement des données à des fins fiscales – Demande de communication d’informations relatives à des annonces de vente de véhicules mises en ligne – Proportionnalité.#Affaire C-175/20.
Date de dépôt :	14 avril 2020
Précédents jurisprudentiels :	arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C-311/18, EU:C:2020:559 arrêt du 6 octobre 2020, Privacy International, C-623/17, EU:C:2020:790 Privacy International, C-623/17, EU:C:2020:790 Puškár, C-73/16, EU:C:2017:725 Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791

Solution :	Renvoi préjudiciel
Identifiant CELEX :	62020CJ0175
Identifiant européen :	ECLI:EU:C:2022:124
Télécharger le PDF original fourni par la juridiction

Sur les parties

Juge-rapporteur : Ilešič
Avocat général : Bobek

Texte intégral

ARRÊT DE LA COUR (cinquième chambre)

24 février 2022 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 2 – Champ d’application – Article 4 – Notion de “traitement” – Article 5 – Principes relatifs au traitement – Limitation des finalités – Minimisation des données – Article 6 – Licéité du traitement – Traitement nécessaire à l’exécution d’une mission d’intérêt public dont est investi le responsable du traitement – Traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis – Article 23 – Limitations – Traitement des données à des fins fiscales – Demande de communication d’informations relatives à des annonces de vente de véhicules mises en ligne – Proportionnalité »

Dans l’affaire C-175/20,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie), par décision du 11 mars 2020, parvenue à la Cour le 14 avril 2020, dans la procédure

« SS » SIA

contre

Valsts ieņēmumu dienests,

LA COUR (cinquième chambre),

composée de M. E. Regan, président de chambre, M. K. Lenaerts, président de la Cour, faisant fonction de juge de la cinquième chambre, M. C. Lycourgos, président de la quatrième chambre, MM. I. Jarukaitis et M. Ilešič (rapporteur), juges,

avocat général : M. M. Bobek,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–	pour « SS » SIA, par M. M. Ruķers,

–	pour le gouvernement letton, initialement par Mmes K. Pommere, V. Soņeca et L. Juškeviča, puis par Mme K. Pommere, en qualité d’agents,

–	pour le gouvernement belge, par MM. J.-C. Halleux et P. Cottin, en qualité d’agents, assistés de Me C. Molitor, avocat,

–	pour le gouvernement hellénique, par Mmes E.-M. Mamouna et O. Patsopoulou, en qualité d’agents,

–	pour le gouvernement espagnol, initialement par MM. J. Rodríguez de la Rúa Puig et S. Jiménez García, puis par M. J. Rodríguez de la Rúa Puig, en qualité d’agents,

–	pour la Commission européenne, initialement par MM. H. Kranenborg et D. Nardi ainsi que Mme I. Rubene, puis par M. H. Kranenborg et Mme I. Rubene, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 2 septembre 2021,

rend le présent

Arrêt

La demande de décision préjudicielle porte sur l’interprétation du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2), notamment de l’article 5, paragraphe 1, de celui-ci.

Cette demande a été présentée dans le cadre d’un litige opposant « SS » SIA au Valsts ieņēmumu dienests (administration fiscale, Lettonie) (ci-après l’« administration fiscale lettone ») au sujet d’une demande de communication d’informations relatives à des annonces de vente de véhicules publiées sur le site Internet de SS.

Le cadre juridique

Le droit de l’Union

Le règlement 2016/679

3	Le règlement 2016/679, qui est fondé sur l’article 16 TFUE, est applicable, en vertu de son article 99, paragraphe 2, à partir du 25 mai 2018.

Les considérants 1, 4, 10, 19, 26, 31, 39, 41 et 50 de ce règlement énoncent :

« (1)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée “Charte”) et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[…]

(4)

Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et à accéder à un tribunal impartial, et la diversité culturelle, religieuse et linguistique.

[…]

(10)

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. […]

[…]

(19)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces et la libre circulation de ces données, fait l’objet d’un acte juridique spécifique de l’Union. Le présent règlement ne devrait dès lors pas s’appliquer aux activités de traitement effectuées à ces fins. Toutefois, les données à caractère personnel traitées par des autorités publiques en vertu du présent règlement devraient, lorsqu’elles sont utilisées à ces fins, être régies par un acte juridique de l’Union plus spécifique, à savoir la directive (UE) 2016/680 du Parlement européen et du Conseil[, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89)]. […]

[…]

(26)

Il y a lieu d’appliquer les principes relatifs à la protection des données à toute information concernant une personne physique identifiée ou identifiable. […] Pour déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement, tels que le ciblage. […]

[…]

(31)

Les autorités publiques auxquelles des données à caractère personnel sont communiquées conformément à une obligation légale pour l’exercice de leurs fonctions officielles, telles que les autorités fiscales et douanières, les cellules d’enquête financière, les autorités administratives indépendantes ou les autorités des marchés financiers responsables de la réglementation et de la surveillance des marchés de valeurs mobilières ne devraient pas être considérées comme des destinataires si elles reçoivent des données à caractère personnel qui sont nécessaires pour mener une enquête particulière dans l’intérêt général, conformément au droit de l’Union ou au droit d’un État membre. Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers. Le traitement des données à caractère personnel par les autorités publiques en question devrait être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement.

[…]

(39)

[…] Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. Ce principe vaut, notamment, pour les informations communiquées aux personnes concernées sur l’identité du responsable du traitement et sur les finalités du traitement ainsi que pour les autres informations visant à assurer un traitement loyal et transparent à l’égard des personnes physiques concernées et leur droit d’obtenir la confirmation et la communication des données à caractère personnel les concernant qui font l’objet d’un traitement. Les personnes physiques devraient être informées des risques, règles, garanties et droits liés au traitement des données à caractère personnel et des modalités d’exercice de leurs droits en ce qui concerne ce traitement. En particulier, les finalités spécifiques du traitement des données à caractère personnel devraient être explicites et légitimes, et déterminées lors de la collecte des données à caractère personnel. Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. Les données à caractère personnel ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. […]

[…]

(41)

Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la Cour […] et de la Cour européenne des droits de l’homme.

[…]

(50)

Le traitement de données à caractère personnel pour d’autres finalités que celles pour lesquelles les données à caractère personnel ont été collectées initialement ne devrait être autorisé que s’il est compatible avec les finalités pour lesquelles les données à caractère personnel ont été collectées initialement. Dans ce cas, aucune base juridique distincte de celle qui a permis la collecte des données à caractère personnel n’est requise. Si le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, le droit de l’Union ou le droit d’un État membre peut déterminer et préciser les missions et les finalités pour lesquelles le traitement ultérieur devrait être considéré comme compatible et licite. Le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible. La base juridique prévue par le droit de l’Union ou le droit d’un État membre en ce qui concerne le traitement de données à caractère personnel peut également constituer la base juridique pour un traitement ultérieur. Afin d’établir si les finalités d’un traitement ultérieur sont compatibles avec celles pour lesquelles les données à caractère personnel ont été collectées initialement, le responsable du traitement, après avoir respecté toutes les exigences liées à la licéité du traitement initial, devrait tenir compte, entre autres : de tout lien entre ces finalités et les finalités du traitement ultérieur prévu ; du contexte dans lequel les données à caractère personnel ont été collectées, en particulier les attentes raisonnables des personnes concernées, en fonction de leur relation avec le responsable du traitement, quant à l’utilisation ultérieure desdites données ; la nature des données à caractère personnel ; les conséquences pour les personnes concernées du traitement ultérieur prévu ; et l’existence de garanties appropriées à la fois dans le cadre du traitement initial et du traitement ultérieur prévu. »

L’article 2 du règlement 2016/679, intitulé « Champ d’application matériel », dispose :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)	dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b)	par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité sur l’Union européenne ;

c)	par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;

d)	par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

[…] »

L’article 4 de ce règlement, intitulé « Définitions », est libellé comme suit :

« Aux fins du présent règlement, on entend par :

“données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

“traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[…]

6)	“fichier”, tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

7)	“responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; […]

[…]

“destinataire”, la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;

[…] »

Aux termes de l’article 5 dudit règlement, intitulé « Principes relatifs au traitement des données à caractère personnel » :

« 1. Les données à caractère personnel doivent être :

a)	traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b)	collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; […] (limitation des finalités) ;

c)	adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

d)	exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;

e)	conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; […] (limitation de la conservation) ;

traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;

2. Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

L’article 6 du même règlement, intitulé « Licéité du traitement », prévoit :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)	la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)	le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)	le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

d)	le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;

e)	le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a)	le droit de l’Union ; ou

b)	le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. […] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a)	de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b)	du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d)	des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e)	de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

Aux termes de l’article 13, paragraphe 3, du règlement 2016/679 :

« Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été collectées, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2. »

L’article 14 de ce règlement dispose :

« 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[…]

c)	les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

[…]

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

[…]

c)	l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ; […]

[…] »

Aux termes de l’article 23, paragraphe 1, sous e), dudit règlement :

« Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

[…]

e)	d’autres objectifs importants d’intérêt public général de l’Union ou d’un État membre, notamment un intérêt économique ou financier important de l’Union ou d’un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;

[…] »

L’article 25, paragraphe 2, du règlement 2016/679 dispose :

« Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée. »

La directive 2016/680

Les considérants 10 et 11 de la directive 2016/680 énoncent :

« (10)

Dans la déclaration no 21 sur la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, annexée à l’acte final de la Conférence intergouvernementale qui a adopté le traité de Lisbonne, la conférence a reconnu que des règles spécifiques sur la protection des données à caractère personnel et sur la libre circulation des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière se basant sur l’article 16 [TFUE] pourraient s’avérer nécessaires en raison de la nature spécifique de ces domaines.

(11)

Il convient dès lors que ces domaines soient régis par une directive qui fixe les règles spécifiques relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, en respectant la nature spécifique de ces activités. Les autorités compétentes en question peuvent comprendre non seulement les autorités publiques telles que les autorités judiciaires, la police ou d’autres autorités répressives mais aussi tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique aux fins de la présente directive. Lorsqu’un tel organisme ou une telle entité traite des données à caractère personnel à des fins autres que celles prévues dans la présente directive, le règlement [2016/679] s’applique. Par conséquent, le règlement [2016/679] s’applique lorsqu’un organisme ou une entité recueille des données à caractère personnel à d’autres fins et les traite ultérieurement pour respecter une obligation légale à laquelle il est soumis. […] »

L’article 3 de cette directive dispose :

« Aux fins de la présente directive, on entend par :

[…]

7. “autorité compétente” :

a)	toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ; ou

tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;

[…] »

Le droit letton

En vertu de l’article 15, paragraphe 6, du likums « Par nodokļiem un nodevām » (loi sur les impôts et les taxes, Latvijas Vēstnesis, 1995, no 26), dans sa version applicable au litige au principal (ci-après la « loi sur les impôts et les taxes »), le prestataire de services d’annonces publiées sur Internet est tenu de fournir, à la demande de l’administration fiscale lettone, les informations dont il dispose concernant les contribuables qui ont publié des annonces en ayant recours à ses services.

Le litige au principal et les questions préjudicielles

16	SS est un prestataire de services d’annonces publiées sur Internet établi en Lettonie.

Le 28 août 2018, l’administration fiscale lettone a adressé à SS une demande de communication fondée sur l’article 15, paragraphe 6, de la loi sur les impôts et les taxes dans laquelle elle invitait cette société à rétablir l’accès dont disposait cette administration fiscale aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur le portail Internet de ladite société ainsi qu’aux numéros de téléphone des vendeurs et à lui fournir, au plus tard le 3 septembre 2018, des informations sur les annonces publiées au cours de la période comprise entre le 14 juillet et le 31 août 2018 dans la rubrique intitulée « Voiture particulière » de ce portail.

Cette demande précisait que ces informations, comprenant le lien vers l’annonce, le texte de celle-ci, la marque, le modèle, le numéro de châssis et le prix du véhicule, ainsi que le numéro de téléphone du vendeur, devaient être soumises par voie électronique, dans un format permettant le filtrage ou la sélection des données.

En outre, dans l’hypothèse où l’accès aux informations figurant dans les annonces publiées sur le portail Internet en cause ne pouvait être rétabli, SS était invitée à en indiquer le motif ainsi qu’à fournir, au plus tard le troisième jour de chaque mois, les informations pertinentes relatives aux annonces publiées durant le mois précédent.

Estimant que la demande de communication de l’administration fiscale lettone n’était pas conforme aux principes de proportionnalité et de minimisation des données à caractère personnel, consacrés par le règlement 2016/679, SS a introduit une réclamation contre cette demande auprès du directeur général faisant fonction de l’administration fiscale lettone.

21	Par décision du 30 octobre 2018, ce dernier a rejeté cette réclamation en exposant notamment que, dans le cadre du traitement des données à caractère personnel en cause au principal, l’administration fiscale lettone exerçait les pouvoirs qui lui sont conférés par la loi.

SS a formé devant l’administratīvā rajona tiesa (tribunal administratif de district, Lettonie) un recours tendant à l’annulation de cette décision. Outre les arguments qu’elle avait exposés dans sa réclamation, elle y faisait valoir que ladite décision n’indiquait pas la finalité spécifique du traitement des données à caractère personnel envisagé par l’administration fiscale lettone, ni la quantité des données nécessaires à celui–ci, en méconnaissance de l’article 5, paragraphe 1, du règlement 2016/679.

Par jugement du 21 mai 2019, l’administratīvā rajona tiesa (tribunal administratif de district) a rejeté ce recours en indiquant, en substance, que l’administration fiscale lettone était fondée à demander l’accès à des informations relatives à toute personne et en quantité illimitée, à moins que ces informations ne soient considérées comme incompatibles avec les finalités tenant à la perception de l’impôt. Cette juridiction a, par ailleurs, considéré que les dispositions du règlement 2016/679 n’étaient pas applicables à l’égard de cette administration.

SS a interjeté appel de ce jugement devant la juridiction de renvoi en faisant valoir, d’une part, que l’administration fiscale lettone était soumise aux dispositions du règlement 2016/679, et, d’autre part, que, en exigeant mensuellement et sans limitation dans le temps une quantité importante de données à caractère personnel relatives à un nombre illimité d’annonces, sans identifier les contribuables à l’égard desquels un contrôle fiscal serait engagé, cette administration a violé le principe de proportionnalité.

La juridiction de renvoi indique que, dans le cadre du litige au principal, il n’est pas contesté que l’exécution de la demande de communication en cause est intrinsèquement liée à un traitement de données à caractère personnel, ni que l’administration fiscale lettone a le droit d’obtenir des informations qui sont à la disposition d’un prestataire de services de placement de publicités sur Internet et sont nécessaires à l’exécution de mesures spécifiques en matière de perception de l’impôt.

Le litige au principal porterait sur la quantité et le type d’informations susceptibles d’être demandées par l’administration fiscale lettone, sur le caractère limité ou illimité de celles-ci, ainsi que sur la question de savoir si l’obligation de communication à laquelle est soumise SS doit être limitée dans le temps.

En particulier, la juridiction de renvoi estime qu’il lui appartient de déterminer si, dans les circonstances de l’affaire au principal, le traitement des données à caractère personnel est effectué de manière transparente à l’égard des personnes concernées, si les informations spécifiées dans la demande de communication en cause sont demandées à des fins déterminées, explicites et légitimes, et si le traitement des données à caractère personnel n’est effectué que dans la mesure où il est réellement nécessaire à l’exercice des fonctions de l’administration fiscale lettone, au sens de l’article 5, paragraphe 1, du règlement 2016/679.

À cette fin, il serait nécessaire de définir les critères permettant d’apprécier si une demande de communication émanant de l’administration fiscale lettone respecte l’essence des libertés et des droits fondamentaux et si la demande de communication en cause au principal peut être considérée comme nécessaire et proportionnée dans une société démocratique afin de garantir des objectifs importants de l’Union et des intérêts publics lettons en matière budgétaire et fiscale.

Dans ces conditions, l’Administratīvā apgabaltiesa (Cour administrative régionale, Lettonie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

Les exigences du règlement [2016/679] doivent-elles être interprétées en ce sens qu’une demande de communication émanant de l’administration fiscale, telle que celle en cause au principal, qui implique une quantité importante de données à caractère personnel, doit être conforme aux exigences énoncées dans les dispositions du règlement 2016/679 (en particulier, à l’article 5, paragraphe 1) ?

2)	Les exigences du règlement [2016/679] doivent-elles être interprétées en ce sens que l’administration fiscale peut déroger aux dispositions de l’article 5, paragraphe 1, du règlement [2016/679], même si un tel droit ne lui est pas conféré par la législation en vigueur en Lettonie ?

Eu égard aux exigences du règlement [2016/679], existe-t-il un objectif légitime justifiant l’obligation imposée par une demande de communication, telle que celle en cause dans la présente affaire, de fournir toutes les informations demandées en quantité illimitée et pendant une période indéterminée, sans qu’une date de fin soit fixée pour l’exécution de la demande de communication ?

Eu égard aux exigences du règlement [2016/679], existe-t-il un objectif légitime justifiant l’obligation imposée par une demande de communication, telle que celle en cause dans la présente affaire, de fournir toutes les données demandées, bien que la demande de communication ne précise pas la finalité de la communication des informations (ou le fait de manière incomplète) ?

Eu égard aux exigences du règlement [2016/679], existe-t-il un objectif légitime justifiant l’obligation imposée par une demande de communication, telle que celle en cause dans la présente affaire, de fournir toutes les données demandées, bien que, en pratique, cette demande vise absolument toutes les personnes concernées qui ont publié des annonces dans la rubrique intitulée “Voiture particulière” d’un portail ?

6)	Quels critères convient-il d’utiliser pour vérifier que l’administration fiscale, en tant que responsable du traitement, s’assure de manière adéquate que le traitement (y compris la collecte d’informations) est conforme aux exigences du règlement [2016/679] ?

7)	Quels critères convient-il d’utiliser pour déterminer si une demande de communication, telle que celle en cause dans la présente affaire, est dûment motivée et de nature occasionnelle ?

8)	Quels critères convient-il d’utiliser pour vérifier qu’un traitement des données à caractère personnel est effectué dans la mesure nécessaire et d’une manière compatible avec les exigences du règlement [2016/679] ?

9)	Quels critères convient-il d’utiliser pour vérifier que l’administration fiscale, en tant que responsable du traitement, s’assure qu’un traitement des données est conforme aux exigences de l’article 5, paragraphe 1, du règlement [2016/679] (responsabilité) ? »

Sur les questions préjudicielles

Sur la première question

Par sa première question, la juridiction de renvoi demande, en substance, si les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’est soumise aux exigences de ce règlement, en particulier à celles énoncées à l’article 5, paragraphe 1, de celui-ci, la collecte, par l’administration fiscale d’un État membre auprès d’un opérateur économique, d’informations impliquant une quantité importante de données à caractère personnel.

Afin de répondre à cette question, il convient de vérifier, en premier lieu, si une telle demande relève du champ d’application matériel du règlement 2016/679, tel qu’il est défini à l’article 2, paragraphe 1, de celui-ci, et, en second lieu, si elle ne figure pas au nombre des traitements de données à caractère personnel que l’article 2, paragraphe 2, de ce règlement exclut de ce champ d’application.

32	En premier lieu, aux termes de son article 2, paragraphe 1, le règlement 2016/679 s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

L’article 4, point 1, du règlement 2016/679 précise qu’il faut entendre par « données à caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire à une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou à plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Le considérant 26 de ce règlement précise, à cet égard, que, afin de déterminer si une personne physique est identifiable, il convient de prendre en considération l’ensemble des moyens raisonnablement susceptibles d’être utilisés par le responsable du traitement ou par toute autre personne pour identifier la personne physique directement ou indirectement.

34	Dans le cadre du litige au principal, il est constant que les informations dont l’administration fiscale lettone sollicite la communication constituent des données à caractère personnel, au sens de l’article 4, point 1, du règlement 2016/679.

En vertu de l’article 4, point 2, de ce règlement, la collecte, la consultation, la communication par transmission ainsi que toute forme de mise à disposition de données à caractère personnel constituent des « traitements », au sens dudit règlement. Il ressort du libellé de cette disposition, notamment de l’expression « toute opération », que le législateur de l’Union a entendu donner à la notion de « traitement » une portée large. Cette interprétation est corroborée par le caractère non exhaustif, exprimé par la locution « telles que », des opérations mentionnées à ladite disposition.

En l’occurrence, l’administration fiscale lettone requiert de l’opérateur économique concerné qu’il rétablisse l’accès des services de cette administration aux numéros de châssis des véhicules faisant l’objet d’une annonce publiée sur son portail Internet et qu’il lui fournisse des informations sur les annonces publiées sur ce portail.

Une telle demande, par laquelle l’administration fiscale d’un État membre sollicite de la part d’un opérateur économique la communication et la mise à disposition de données à caractère personnel que ce dernier est tenu de fournir et de mettre à la disposition de celle-ci en vertu de la réglementation nationale de cet État membre, entame un processus de « collecte » de ces données, au sens de l’article 4, point 2, du règlement 2016/679.

38	Par ailleurs, la communication et la mise à disposition desdites données à cette administration par l’opérateur économique en cause impliquent un « traitement », au sens de cet article 4, point 2.

En second lieu, il convient d’examiner si l’opération par laquelle l’administration fiscale d’un État membre cherche à collecter auprès d’un opérateur économique les données à caractère personnel concernant certains contribuables peut être considérée comme étant exclue du champ d’application du règlement 2016/679 en vertu de l’article 2, paragraphe 2, de celui-ci.

À cet égard, il y a lieu de rappeler, d’emblée, que cette disposition prévoit des exceptions au champ d’application de ce règlement, tel que défini à l’article 2, paragraphe 1, de celui-ci, et que ces exceptions doivent recevoir une interprétation stricte (arrêt du 16 juillet 2020, Facebook Ireland et Schrems, C-311/18, EU:C:2020:559, point 84).

En particulier, l’article 2, paragraphe 2, sous d), du règlement 2016/679 dispose que ce dernier ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.

Ainsi qu’il résulte du considérant 19 de ce règlement, cette exception est motivée par la circonstance que les traitements, à de telles fins et par les autorités compétentes, de données à caractère personnel sont régis par un acte spécifique de l’Union, à savoir la directive 2016/680, laquelle a été adoptée le même jour que le règlement 2016/679 et qui définit, à son article 3, point 7, ce qu’il convient d’entendre par « autorité compétente », une telle définition devant être appliquée, par analogie, à l’article 2, paragraphe 2, sous d), de ce règlement [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 69].

Il ressort du considérant 10 de la directive 2016/680 que la notion d’« autorité compétente » doit être comprise en lien avec la protection des données à caractère personnel dans le domaine de la coopération judiciaire en matière pénale et de la coopération policière, compte tenu des aménagements qui peuvent s’avérer nécessaires, à cet égard, en raison de la nature spécifique de ces domaines. En outre, le considérant 11 de cette directive précise que le règlement 2016/679 s’applique au traitement de données à caractère personnel qui serait effectué par une « autorité compétente », au sens de l’article 3, point 7, de ladite directive, mais à d’autres fins que celles prévues dans celle-ci [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 70].

Ainsi, lorsqu’elle demande à un opérateur économique de lui communiquer des données à caractère personnel relatives à certains contribuables aux fins de la perception de l’impôt et de la lutte contre la fraude fiscale, il n’apparaît pas que l’administration fiscale d’un État membre puisse être considérée comme une « autorité compétente », au sens de l’article 3, point 7, de la directive 2016/680, ni, partant, que de telles demandes d’informations puissent relever de l’exception prévue à l’article 2, paragraphe 2, sous d), du règlement 2016/679.

En outre, même s’il n’est pas exclu que les données à caractère personnel en cause au principal puissent être utilisées dans le cadre de poursuites pénales qui pourraient être exercées, en cas d’infraction dans le domaine fiscal, contre certaines des personnes concernées, il n’apparaît pas que ces données soient collectées dans l’objectif spécifique d’exercer de telles poursuites pénales ou dans le cadre des activités de l’État relatives à des domaines du droit pénal (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C-73/16, EU:C:2017:725, point 40).

Partant, la collecte, par l’administration fiscale d’un État membre, de données à caractère personnel relatives aux annonces de vente de véhicules publiées sur le site Internet d’un opérateur économique relève du champ d’application matériel du règlement 2016/679 et, par suite, celle-ci doit respecter, notamment, les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement.

Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la première question que les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’est soumise aux exigences de ce règlement, en particulier à celles énoncées à l’article 5, paragraphe 1, de celui-ci, la collecte, par l’administration fiscale d’un État membre auprès d’un opérateur économique, d’informations impliquant une quantité importante de données à caractère personnel.

Sur la deuxième question

Par sa deuxième question, la juridiction de renvoi demande, en substance, si les dispositions du règlement 2016/679 doivent être interprétées en ce sens que l’administration fiscale d’un État membre peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement alors même qu’un tel droit ne lui a pas été octroyé par le droit national de cet État membre.

49	À titre liminaire, il convient de rappeler que, ainsi qu’il ressort de son considérant 10, le règlement 2016/679 vise notamment à assurer un niveau élevé de protection des personnes physiques au sein de l’Union.

À cette fin, les chapitres II et III du règlement 2016/679 énoncent, respectivement, les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée que doit respecter tout traitement de données à caractère personnel. En particulier, tout traitement de données à caractère personnel doit, notamment, être conforme aux principes relatifs au traitement de telles données énoncés à l’article 5 dudit règlement (voir, en ce sens, arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 208).

L’article 23 du règlement 2016/679 autorise toutefois l’Union et les États membres à adopter des « mesures législatives » limitant la portée des obligations et des droits prévus, notamment, à l’article 5 de ce règlement pour autant qu’ils correspondent aux droits et aux obligations prévus aux articles 12 à 22 dudit règlement, lorsqu’une telle limitation respecte l’essence des libertés et des droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir d’importants objectifs d’intérêt public général de l’Union ou de l’État membre concerné tel que, notamment, un intérêt économique ou financier important, y compris dans les domaines budgétaire et fiscal.

52	À cet égard, il ressort du considérant 41 du règlement 2016/679 que la référence, dans ce règlement, à une « mesure législative » n’implique pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée.

Cela étant, il convient de rappeler que, ainsi que l’énonce son considérant 4, le règlement 2016/679 respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, parmi lesquels figure, notamment, la protection des données à caractère personnel.

Or, conformément à l’article 52, paragraphe 1, première phrase, de la Charte, toute limitation de l’exercice des droits et des libertés reconnus par celle-ci, parmi lesquels figurent, notamment, le droit au respect de la vie privée, garanti par l’article 7 de la Charte, et le droit à la protection des données à caractère personnel, consacré à l’article 8 de celle-ci, doit être prévue par la loi, ce qui implique, en particulier, que la base légale qui permet l’ingérence dans ces droits doit définir elle-même la portée de la limitation de l’exercice du droit concerné (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C-623/17, EU:C:2020:790, point 65 et jurisprudence citée).

À cet égard, la Cour a jugé, en outre, que la réglementation comportant une mesure permettant une telle ingérence doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel ont été transférées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus [voir, en ce sens, arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques), C-746/18, EU:C:2021:152, point 48 et jurisprudence citée].

Par conséquent, toute mesure adoptée en vertu de l’article 23 du règlement 2016/679 doit, ainsi que le législateur de l’Union l’a, au demeurant, souligné au considérant 41 de ce règlement, être claire et précise et son application être prévisible pour les justiciables. En particulier, ces derniers doivent être en mesure d’identifier les circonstances et les conditions dans lesquelles la portée des droits que leur confère ledit règlement est susceptible de faire l’objet d’une limitation.

Il découle des considérations qui précèdent que l’administration fiscale d’un État membre ne saurait déroger aux dispositions de l’article 5 du règlement 2016/679 en l’absence d’une base juridique claire et précise du droit de l’Union ou du droit national, dont l’application est prévisible pour les justiciables, prévoyant les circonstances et les conditions dans lesquelles la portée des obligations et des droits prévus à cet article 5 peut être limitée.

Partant, il y a lieu de répondre à la deuxième question que les dispositions du règlement 2016/679 doivent être interprétées en ce sens que l’administration fiscale d’un État membre ne peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement lorsqu’un tel droit ne lui a pas été octroyé par une mesure législative, au sens de l’article 23, paragraphe 1, de celui-ci.

Sur les troisième à neuvième questions

Par ses troisième à neuvième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’elles s’opposent à ce que l’administration fiscale d’un État membre impose à un prestataire de services d’annonces publiées sur Internet de lui communiquer, pendant une période indéterminée et sans que soit précisée la finalité de cette demande de communication, des informations relatives à l’ensemble des contribuables ayant publié des annonces dans l’une des rubriques de son portail Internet.

À titre liminaire, il convient de faire observer que deux traitements de données à caractère personnel sont susceptibles d’avoir lieu dans une situation telle que celle en cause au principal. Ainsi qu’il ressort des points 37 et 38 du présent arrêt, il s’agit de la collecte de données à caractère personnel à laquelle procède l’administration fiscale auprès du prestataire de services concerné et, dans ce cadre, de la communication par transmission de ces données par ce prestataire à cette administration.

Ainsi qu’il ressort de la jurisprudence citée au point 50 du présent arrêt, chacune de ces opérations de traitement doit, sous réserve des dérogations admises à l’article 23 du règlement 2016/679, respecter les principes relatifs au traitement des données à caractère personnel énoncés à l’article 5 de ce règlement ainsi que les droits de la personne concernée figurant aux articles 12 à 22 de celui-ci.

En l’occurrence, la juridiction de renvoi s’interroge, en particulier, sur la circonstance que, d’une part, les traitements mentionnés au point 60 du présent arrêt concernent des informations en quantité illimitée se rapportant à une période indéterminée et, d’autre part, que la finalité de ces traitements n’est pas précisée dans la demande de communication.

63	À cet égard, il convient de souligner, en premier lieu, que l’article 5, paragraphe 1, sous b), du règlement 2016/679 prévoit que les données à caractère personnel doivent être collectées, notamment, pour des finalités déterminées, explicites et légitimes.

64	Tout d’abord, l’exigence selon laquelle les finalités du traitement doivent être déterminées implique, ainsi qu’il découle du considérant 39 de ce règlement, que celles-ci doivent être identifiées, au plus tard, lors de la collecte des données à caractère personnel.

65	Ensuite, les finalités du traitement doivent être explicites, ce qui signifie que celles-ci doivent être énoncées clairement.

66	Enfin, ces finalités doivent être légitimes. Il importe, dès lors, qu’elles assurent un traitement licite, au sens de l’article 6, paragraphe 1, dudit règlement.

Les traitements visés au point 60 du présent arrêt sont initiés par la demande de communication de données à caractère personnel que l’administration fiscale lettone adresse au prestataire de services d’annonces publiées sur Internet. Il apparaît, à cet égard, que, en vertu de l’article 15, paragraphe 6, de la loi sur les impôts et les taxes, ce prestataire est tenu de donner une suite favorable à une telle demande.

68	Au regard des considérations exposées aux points 64 et 65 du présent arrêt, il est nécessaire que les finalités de ces traitements soient clairement énoncées dans cette demande.

Pourvu que les finalités ainsi énoncées dans ladite demande soient nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investie l’administration fiscale, cette circonstance suffit, ainsi qu’il découle de l’article 6, paragraphe 1, premier alinéa, initio et sous e), du règlement 2016/679, lu conjointement avec l’article 6, paragraphe 3, second alinéa, de ce règlement, pour que lesdits traitements satisfassent également à l’exigence de licéité rappelée au point 66 du présent arrêt.

À cet égard, il convient de rappeler que la perception de l’impôt et la lutte contre la fraude fiscale doivent être considérées comme étant des missions d’intérêt public, au sens de l’article 6, paragraphe 1, premier alinéa, sous e), du règlement 2016/679 (voir, par analogie, arrêt du 27 septembre 2017, Puškár, C-73/16, EU:C:2017:725, point 108).

Il s’ensuit que, dans un cas où la communication des données à caractère personnel en cause n’est pas directement fondée sur la disposition légale qui en constitue le fondement, mais résulte d’une demande de l’autorité publique compétente, il est nécessaire que cette demande précise quelles sont les finalités spécifiques de cette collecte de données au regard de la mission d’intérêt public ou de l’exercice de l’autorité publique, afin de permettre au destinataire de ladite demande de s’assurer que la transmission des données à caractère personnel en cause est licite et aux juridictions nationales d’opérer un contrôle de la légalité des traitements concernés.

72	En second lieu, conformément à l’article 5, paragraphe 1, sous c), du règlement 2016/679, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

À cet égard, il convient de rappeler que, selon une jurisprudence constante, les dérogations et les restrictions au principe de la protection de telles données doivent s’opérer dans les limites du strict nécessaire [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 110 et jurisprudence citée].

Il s’ensuit que le responsable du traitement, y compris lorsqu’il agit dans le cadre de la mission d’intérêt public dont il a été investi, ne peut procéder, de manière généralisée et indifférenciée, à la collecte de données à caractère personnel et qu’il doit s’abstenir de collecter des données qui ne sont pas strictement nécessaires au regard des finalités du traitement.

En l’occurrence, il convient de relever que, ainsi qu’il ressort des points 17 à 19 du présent arrêt, l’administration fiscale lettone a demandé à l’opérateur économique concerné de lui fournir des données relatives aux annonces de vente de voitures particulières publiées sur son site Internet entre le 14 juillet et le 31 août 2018 et, dans l’hypothèse où l’accès à ces informations ne pourrait être rétabli, de lui fournir, au plus tard le troisième jour de chaque mois, les données relatives aux annonces de vente de voitures particulières publiées sur son site Internet durant le mois précédent, sans assortir cette dernière demande d’une quelconque limite temporelle.

Eu égard aux considérations exposées au point 74 du présent arrêt, il incombe à la juridiction de renvoi de vérifier si la finalité de la collecte de ces données est susceptible d’être atteinte sans que l’administration fiscale lettone dispose potentiellement des données relatives à l’ensemble des annonces de vente de voitures particulières publiées sur le site Internet dudit opérateur et, notamment, s’il est envisageable que cette administration cible certaines annonces au moyen de critères spécifiques.

Dans ce contexte, il convient de souligner que, conformément au principe de responsabilité énoncé à l’article 5, paragraphe 2, du règlement 2016/679, le responsable du traitement doit être en mesure de démontrer qu’il respecte les principes relatifs au traitement des données à caractère personnel énoncés au paragraphe 1 de cet article.

78	Partant, c’est à l’administration fiscale lettone qu’il incombe d’établir que, conformément à l’article 25, paragraphe 2, de ce règlement, elle a cherché à minimiser autant que faire se peut la quantité de données à caractère personnel à collecter.

S’agissant de la circonstance que la demande de communication adressée par l’administration fiscale lettone ne prévoit, dans l’hypothèse du non-rétablissement, par le prestataire de services d’annonces concerné, de l’accès aux annonces publiées dans la période ciblée dans la demande, aucune limite temporelle, il y a lieu de rappeler que, compte tenu du principe de minimisation des données, le responsable du traitement est également tenu de limiter au strict nécessaire, à l’aune de l’objectif du traitement envisagé, la période de collecte des données à caractère personnel en cause.

80	Partant, la période sur laquelle porte la collecte ne saurait excéder la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

81	Ainsi qu’il résulte du point 77 du présent arrêt, la charge de la preuve à cet égard incombe à l’administration fiscale lettone.

Cependant, la circonstance que lesdites données sont collectées sans que l’administration fiscale lettone ait défini, dans la demande de communication elle-même, une limite temporelle pour un tel traitement ne permet pas, en tant que telle, de considérer que la durée du traitement excède la durée strictement nécessaire pour atteindre l’objectif visé.

Dans ce contexte, il convient néanmoins de rappeler que, pour satisfaire à l’exigence de proportionnalité à laquelle l’article 5, paragraphe 1, sous c), du règlement 2016/679 donne expression [voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C-439/19, EU:C:2021:504, point 98 et jurisprudence citée], la réglementation qui fonde le traitement doit prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause et imposant des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus. Cette réglementation doit être légalement contraignante en droit interne et, en particulier, indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire (arrêt du 6 octobre 2020, Privacy International, C-623/17, EU:C:2020:790, point 68 et jurisprudence citée).

Il s’ensuit que la réglementation nationale régissant une demande de communication telle que celle en cause au principal doit se fonder sur des critères objectifs pour définir les circonstances et les conditions dans lesquelles un prestataire de services en ligne est tenu de transmettre des données à caractère personnel relatives à ses utilisateurs (voir, en ce sens, arrêt du 6 octobre 2020, Privacy International, C-623/17, EU:C:2020:790, point 78 et jurisprudence citée).

Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux troisième à neuvième questions que les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État membre impose à un prestataire de services d’annonces publiées sur Internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

Sur les dépens

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (cinquième chambre) dit pour droit :

Les dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doivent être interprétées en ce sens qu’est soumise aux exigences de ce règlement, en particulier à celles énoncées à l’article 5, paragraphe 1, de celui-ci, la collecte, par l’administration fiscale d’un État membre auprès d’un opérateur économique, d’informations impliquant une quantité importante de données à caractère personnel.

Les dispositions du règlement 2016/679 doivent être interprétées en ce sens que l’administration fiscale d’un État membre ne peut déroger aux dispositions de l’article 5, paragraphe 1, de ce règlement lorsqu’un tel droit ne lui a pas été octroyé par une mesure législative, au sens de l’article 23, paragraphe 1, de celui-ci.

Les dispositions du règlement 2016/679 doivent être interprétées en ce sens qu’elles ne s’opposent pas à ce que l’administration fiscale d’un État membre impose à un prestataire de services d’annonces publiées sur Internet de lui communiquer des informations relatives aux contribuables ayant publié des annonces dans l’une des rubriques de son portail Internet pour autant, notamment, que ces données soient nécessaires au regard des finalités spécifiques pour lesquelles elles sont collectées et que la période sur laquelle porte la collecte desdites données n’excède pas la durée strictement nécessaire pour atteindre l’objectif d’intérêt général visé.

Signatures

( *1 ) Langue de procédure : le letton.

Textes cités dans la décision