CJUE, n° C-245/20, Arrêt de la Cour, X et Z contre Autoriteit Persoonsgegevens, 24 mars 2022

Principes, objectifs et missions des traités·
Politique intérieure de l'Union européenne·
Rapprochement des législations·
Mesures de rapprochement·
Protection des données·
Traitement de données·
Règlement·
Autorité de contrôle·
Juridiction·
Journaliste

Chronologie de l’affaire

Commentaire • 0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

Sur la décision

Référence :	CJUE, Cour, 24 mars 2022, C-245/20
Numéro(s) :	C-245/20
Arrêt de la Cour (première chambre) du 24 mars 2022.#X et Z contre Autoriteit Persoonsgegevens.#Demande de décision préjudicielle, introduite par le Rechtbank Midden-Nederland.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Compétence de l’autorité de contrôle – Article 55, paragraphe 3 – Opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle – Notion – Mise à la disposition d’un journaliste de pièces issues d’une procédure juridictionnelle contenant des données à caractère personnel.#Affaire C-245/20.
Date de dépôt :	29 mai 2020
Précédents jurisprudentiels :	15 avril 2021, Friends of the Irish Environment, C-470/19, EU:C:2021:271 arrêt du 26 avril 2017, Farkas, C-564/15, EU:C:2017:302 Associação Sindical dos Juízes Portugueses, C-64/16, EU:C:2018:117 Commission/Pologne ( Indépendance de la Cour suprême ), C-619/18, EU:C:2019:531 Euro Box Promotion e.a., C-357/19, C-379/19, C-547/19, C-811/19, C-840/19, EU:C:2021:1034 Jobcenter Krefeld, C-181/19, EU:C:2020:794

Solution :	Renvoi préjudiciel
Identifiant CELEX :	62020CJ0245
Identifiant européen :	ECLI:EU:C:2022:216
Télécharger le PDF original fourni par la juridiction

Sur les parties

Juge-rapporteur : Bonichot
Avocat général : Bobek

Texte intégral

ARRÊT DE LA COUR (première chambre)

24 mars 2022 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Compétence de l’autorité de contrôle – Article 55, paragraphe 3 – Opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle – Notion – Mise à la disposition d’un journaliste de pièces issues d’une procédure juridictionnelle contenant des données à caractère personnel »

Dans l’affaire C-245/20,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Rechtbank Midden-Nederland (tribunal des Pays-Bas centraux), par décision du 29 mai 2020, parvenue à la Cour le même jour, dans la procédure

contre

Autoriteit Persoonsgegevens,

LA COUR (première chambre),

composée de M. K. Lenaerts, président de la Cour, faisant fonction de président de la première chambre, M. L. Bay Larsen, vice-président de la Cour, MM. N. Jääskinen, J.-C. Bonichot (rapporteur) et M. Safjan, juges,

avocat général : M. M. Bobek,

greffier : Mme L. Carrasco Marco, administratrice,

vu la procédure écrite et à la suite de l’audience du 14 juillet 2021,

considérant les observations présentées :

–	pour X et Z, par Me S.A. J. T. Hoogendoorn, advocaat,

–	pour l’Autoriteit Persoonsgegevens, par Mes G. Dictus et N. N. Bontje, advocaten,

–	pour le gouvernement néerlandais, par Mmes M. K. Bulterman et C. S. Schillemans, en qualité d’agents,

–	pour le gouvernement espagnol, par M. L. Aguilera Ruiz, en qualité d’agent,

–	pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

–	pour le gouvernement portugais, par M. L. Inez Fernandes ainsi que par Mmes P. Barros da Costa, L. Medeiros et I. Oliveira, en qualité d’agents,

–	pour le gouvernement finlandais, par Mme H. Leppo, en qualité d’agent,

–	pour la Commission européenne, par MM. F. Erlbacher, H. Kranenborg et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 6 octobre 2021,

rend le présent

Arrêt

La demande de décision préjudicielle porte sur l’interprétation de l’article 55, paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L. 119, p. 1).

Cette demande a été présentée dans le cadre d’un litige opposant X et Z à l’Autoriteit Persoonsgegevens (Autorité de protection des données personnelles, Pays-Bas) (ci-après l’« AP »), au sujet de l’accès de journalistes à des données à caractère personnel les concernant, figurant dans un dossier juridictionnel, à l’occasion de l’audience qui s’est tenue devant la section du contentieux administratif du Raad van State (Conseil d’État, Pays-Bas), dans le cadre d’une procédure à laquelle Z était partie et représenté par X.

Le cadre juridique

Le droit de l’Union

Le considérant 20 du règlement 2016/679 énonce :

« Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. La compétence des autorités de contrôle ne devrait pas s’étendre au traitement de données à caractère personnel effectué par les juridictions dans l’exercice de leur fonction juridictionnelle, afin de préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions. Il devrait être possible de confier le contrôle de ces opérations de traitement de données à des organes spécifiques au sein de l’appareil judiciaire de l’État membre, qui devraient notamment garantir le respect des règles du présent règlement, sensibiliser davantage les membres du pouvoir judiciaire aux obligations qui leur incombent en vertu du présent règlement et traiter les réclamations concernant ces opérations de traitement de données. »

Aux termes de l’article 2 de ce règlement :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)	dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

b)	par les États membres dans le cadre d’activités qui relèvent du champ d’application du chapitre 2 du titre V du traité [UE] ;

c)	par une personne physique dans le cadre d’une activité strictement personnelle ou domestique ;

d)	par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

3. Le règlement (CE) no 45/2001 [du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1),] s’applique au traitement des données à caractère personnel par les institutions, organes et organismes de l’Union. Le règlement [no 45/2001] et les autres actes juridiques de l’Union applicables audit traitement des données à caractère personnel sont adaptés aux principes et aux règles du présent règlement conformément à l’article 98.

[…] »

L’article 4, point 2, dudit règlement définit la notion de « traitement » comme :

« toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou [à] des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

En vertu de l’article 51, paragraphe 1, du même règlement :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union (ci-après dénommée “autorité de contrôle”). »

Enfin, l’article 55 du règlement 2016/679 dispose :

« 1. Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève.

2. Lorsque le traitement est effectué par des autorités publiques ou des organismes privés agissant sur la base de l’article 6, paragraphe 1, point c) ou e), l’autorité de contrôle de l’État membre concerné est compétente. Dans ce cas, l’article 56 n’est pas applicable.

3. Les autorités de contrôle ne sont pas compétentes pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle. »

Le droit néerlandais

Aux fins de la mise en œuvre du règlement 2016/679, le Royaume des Pays-Bas a adopté la wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming) [loi établissant les règles d’application du règlement 2016/679 (loi d’application du règlement général sur la protection des données)], du 16 mai 2018 (Stb. 2018, no 144). L’article 6 de cette loi confie à l’AP le soin de contrôler le respect du règlement 2016/679 aux Pays-Bas. Aucune de ses dispositions ne reprend l’exception prévue à l’article 55, paragraphe 3, du règlement 2016/679.

Le 31 mai 2018, le président de la section du contentieux administratif du Raad van State (Conseil d’État), les administrations judiciaires du Centrale Raad van Beroep (cour d’appel en matière de sécurité sociale et de fonction publique, Pays-Bas) et le College van Beroep voor het bedrijfsleven (cour d’appel du contentieux administratif en matière économique, Pays-Bas) ont adopté le regeling verwerking Persoonsgegevens bestuursrechtelijke colleges (règlement relatif au traitement des données à caractère personnel devant les juridictions administratives). Ce dernier a créé l’AVG-commissie bestuursrechtelijke colleges (commission de protection des données à caractère personnel pour les juridictions administratives, Pays-Bas). Cette dernière est chargée de conseiller le président de la section du contentieux administratif du Raad van State (Conseil d’État), les administrations judiciaires du Centrale Raad van Beroep (cour d’appel en matière de sécurité sociale et de fonction publique) et le College van Beroep voor het bedrijfsleven (cour d’appel du contentieux administratif en matière économique) en ce qui concerne le traitement des réclamations relatives au respect des droits garantis par le règlement 2016/679.

Le litige au principal et la question préjudicielle

À l’occasion de l’audience qui s’est tenue le 30 octobre 2018 devant la section du contentieux administratif du Raad van State (Conseil d’État) dans le cadre d’une procédure juridictionnelle à laquelle Z était partie, représenté par X, ces derniers ont été abordés par un journaliste. Lors de leur conversation, X a constaté que ce journaliste disposait de pièces du dossier de l’affaire concernée, y compris des documents qu’il avait lui-même rédigés, faisant en particulier apparaître son nom et son adresse ainsi que le numéro national d’identification de Z. Ce journaliste lui a indiqué que ces éléments avaient été mis à sa disposition dans le cadre du droit d’accès au dossier des affaires que la section du contentieux administratif du Raad van State (Conseil d’État) accorde aux journalistes.

Par une lettre du 21 novembre 2018, le président de la section du contentieux administratif du Raad van State (Conseil d’État) a confirmé à X que cette section fournissait aux médias un certain nombre d’éléments sur les affaires en cours. Il lui a indiqué que, le jour de l’audience, le service de communication du Raad van State (Conseil d’État) mettait à la disposition des journalistes présents des documents destinés à leur permettre de suivre les audiences, à savoir une copie de la requête introductive d’instance, une copie du mémoire en défense et, le cas échéant, une copie de la décision juridictionnelle attaquée, ces documents étant détruits à la fin de la journée.

X et Z ont alors demandé à l’AP de prendre à l’égard du Raad van State (Conseil d’État) des « mesures d’application » des règles en matière de protection des données à caractère personnel. Par leurs demandes, qui s’apparentaient à des réclamations, ils faisaient valoir que, en permettant à des journalistes d’avoir accès à des données à caractère personnel les concernant, issues des pièces d’un dossier juridictionnel, le Raad van State (Conseil d’État) avait enfreint le règlement 2016/679.

En réponse à ces demandes, l’AP a indiqué que, en vertu de l’article 55, paragraphe 3, du règlement 2016/679, elle n’était pas compétente pour contrôler les opérations de traitement de données à caractère personnel concernées, effectuées par le Raad van State (Conseil d’État). Elle aurait par la suite transmis les demandes de X et de Z à la commission de protection des données à caractère personnel pour les juridictions administratives, qui les aurait elle-même transmises au président de la section du contentieux administratif du Raad van State (Conseil d’État).

Le président de la section du contentieux administratif du Raad van State (Conseil d’État) a analysé les demandes de X et de Z comme des réclamations relatives à sa lettre du 21 novembre 2018 et a, après avoir pris l’avis de la commission de protection des données à caractère personnel pour les juridictions administratives, défini une nouvelle politique d’accès aux pièces des dossiers juridictionnels, laquelle a été publiée sur le site Internet du Raad van State (Conseil d’État).

15	X et Z ont contesté, devant la juridiction de renvoi, le Rechtbank Midden-Nederland (tribunal des Pays-Bas centraux), la décision par laquelle l’AP avait décliné sa compétence pour connaître de leurs demandes.

Selon cette juridiction, le fait de donner accès à un journaliste aux pièces d’un dossier juridictionnel contenant des données à caractère personnel et de les mettre temporairement à sa disposition constitue un « traitement » de données à caractère personnel, au sens de l’article 4, point 2, du règlement 2016/679, auquel, en l’occurrence, X et Z n’auraient pas consenti. En vue de déterminer si l’AP était effectivement incompétente pour statuer sur les demandes de X et de Z, la juridiction de renvoi s’interroge toutefois sur l’interprétation qu’il convient de faire de l’article 55, paragraphe 3, de ce règlement, lequel dispose que l’autorité de contrôle n’est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions agissant « dans l’exercice de leur fonction juridictionnelle ».

C’est dans ce contexte que le Rechtbank Midden-Nederland (tribunal des Pays-Bas centraux) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 55, paragraphe 3, du règlement 2016/679 doit-il être interprété en ce sens que les opérations de traitement effectuées par les juridictions dans l’exercice de leur “fonction juridictionnelle” peuvent comprendre l’accès accordé par une instance juridictionnelle à des pièces de dossiers contenant des données personnelles, lorsque cet accès est accordé en mettant des copies de ces pièces à la disposition d’un journaliste, comme dans le cas décrit dans la décision de renvoi ?

–	Pour répondre à cette question, importe-t-il que l’exercice du contrôle de l’autorité de contrôle nationale sur cette forme de traitement de données affecte l’indépendance de jugement du juge dans des affaires concrètes ?

–

Pour répondre à cette question, importe-t-il que le traitement ait, selon l’instance juridictionnelle, pour nature et pour finalité d’informer un journaliste afin de mettre celui-ci en mesure de mieux rapporter la teneur de l’audience publique dans une procédure judiciaire et de servir l’intérêt à la publicité et à la transparence de la justice ?

–	Pour répondre à cette question, est-il pertinent de savoir si le traitement de données repose sur une base légale explicite en droit national ? »

Sur la question préjudicielle

Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 55, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que le fait pour une juridiction de mettre à la disposition temporaire de journalistes des pièces issues d’une procédure juridictionnelle, contenant des données à caractère personnel, relève de l’exercice, par cette juridiction, de sa « fonction juridictionnelle », au sens de cette disposition. Dans ce contexte, elle se demande si, afin de répondre à cette question, il convient de tenir compte de l’atteinte que pourrait porter l’exercice par l’autorité de contrôle de ses pouvoirs à l’indépendance des magistrats dans le jugement d’affaires concrètes. Elle se demande également s’il convient de prendre en considération la nature et la finalité de cette mise à disposition de pièces de procédure, à savoir permettre aux journalistes de mieux rendre compte du déroulement d’une procédure juridictionnelle, ou encore le point de savoir si cette mise à disposition repose sur une base légale explicite en droit interne.

À titre liminaire, Z soutient, d’une part, que la question posée présente un caractère hypothétique et qu’elle est, à ce titre, irrecevable. En effet, selon lui, contrairement à ce qu’indique la demande de décision préjudicielle, le traitement des données concernées relève non pas de la section du contentieux administratif du Raad van State (Conseil d’État), mais du service de communication de ce dernier, qui n’est pas une juridiction. Cette demande serait également entachée de plusieurs autres erreurs ou inexactitudes, en particulier en ce qui concerne la qualité de la personne qui aurait abordé X et Z à l’issue de l’audience et la teneur exacte des demandes transmises par l’AP au président de la section du contentieux administratif du Raad van State (Conseil d’État).

À cet égard, il convient de rappeler que, en vertu d’une jurisprudence constante, les questions portant sur le droit de l’Union bénéficient d’une présomption de pertinence. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que lorsqu’il apparaît manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, que la Cour ne dispose pas des éléments de droit ou de fait nécessaires pour répondre de façon utile aux questions qui lui sont posées ou que le problème est de nature hypothétique [voir arrêt du 24 novembre 2020, Openbaar Ministerie (Faux en écritures), C-510/19, EU:C:2020:953, point 26 et jurisprudence citée].

De plus, dans le cadre de la procédure visée à l’article 267 TFUE, fondée sur une nette séparation des fonctions entre les juridictions nationales et la Cour, le juge national est seul compétent pour constater et apprécier les faits du litige au principal (voir arrêt du 26 avril 2017, Farkas, C-564/15, EU:C:2017:302, point 37 et jurisprudence citée).

Il ressort de la demande de décision préjudicielle que la juridiction de renvoi est tenue de prendre position sur l’application de l’article 55, paragraphe 3, du règlement 2016/679 à la mise à disposition des pièces de procédure contenant des données à caractère personnel en cause dans le litige au principal pour déterminer si le contrôle de la légalité de cette dernière relevait, ou non, de la compétence de l’AP. Il résulte en outre de la jurisprudence rappelée au point précédent du présent arrêt que Z ne saurait renverser la présomption de pertinence dont bénéficie la question posée par la juridiction de renvoi en se bornant à contester les éléments factuels dont celle-ci fait état dans sa demande, sur lesquels il n’appartient pas à la Cour de prendre position. Il s’ensuit que l’exception d’irrecevabilité soulevée par Z doit être écartée.

D’autre part, Z fait valoir que l’article 55, paragraphe 3, du règlement 2016/679 devrait être déclaré invalide par la Cour au motif que l’incompétence de l’autorité de contrôle concernée s’agissant des opérations de traitement effectuées par les juridictions « dans l’exercice de leur fonction juridictionnelle », prévue par cette disposition, ne serait pas assortie de l’obligation pour les États membres de prévoir des modalités de contrôle spécifiques concernant ces opérations de traitement, ce qui serait contraire aux exigences découlant du droit à un recours effectif.

Cependant, une telle argumentation ne saurait prospérer dès lors que, ainsi qu’il ressort du considérant 20 du règlement 2016/679, le législateur de l’Union, en édictant l’article 55, paragraphe 3, de ce règlement, n’a pas entendu soustraire à tout contrôle les opérations de traitement effectuées par les juridictions « dans l’exercice de leur fonction juridictionnelle », mais a seulement exclu que le contrôle de ces opérations soit confié à une autorité extérieure.

Afin de répondre à la question posée par la juridiction de renvoi, résumée au point 18 du présent arrêt, il y a lieu, tout d’abord, de relever que l’article 2, paragraphe 1, du règlement 2016/679 prévoit que ce règlement s’applique à tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier », sans établir de distinction en fonction de l’identité de l’auteur du traitement concerné. Il s’ensuit que, sous réserve des cas mentionnés à son article 2, paragraphes 2 et 3, le règlement 2016/679 s’applique aux opérations de traitement effectuées tant par les personnes privées que par les autorités publiques, y compris, comme l’indique le considérant 20 de celui-ci, les autorités judiciaires, telles que les juridictions.

Cette lecture est corroborée par le fait que plusieurs des dispositions du règlement 2016/679 sont assorties d’aménagements destinés à tenir compte des spécificités propres aux traitements mis en œuvre par les juridictions. Tel est notamment le cas de l’article 55, paragraphe 3, de ce règlement, qui exclut toute compétence de l’autorité de contrôle s’agissant des opérations de traitement effectuées par les juridictions « dans l’exercice de leur fonction juridictionnelle ».

Le règlement 2016/679 se distingue, à cet égard, de la directive 2003/4/CE du Parlement et du Conseil, du 28 janvier 2003, concernant l’accès du public à l’information en matière d’environnement et abrogeant la directive 90/313/CEE du Conseil (JO 2003, L 41, p. 26), qui ne s’applique pas aux juridictions (arrêt du 15 avril 2021, Friends of the Irish Environment, C-470/19, EU:C:2021:271, points 34 à 40).

Afin de déterminer la portée de la notion d’opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle, au sens de l’article 55, paragraphe 3, du règlement 2016/679, il y a lieu de rappeler que l’interprétation d’une disposition du droit de l’Union doit tenir compte non seulement des termes de celle-ci, mais aussi du contexte dans lequel elle s’inscrit et des objectifs poursuivis par la législation dont elle fait partie (voir en ce sens, notamment, arrêt du 6 octobre 2020, Jobcenter Krefeld, C-181/19, EU:C:2020:794, point 61 et jurisprudence citée).

29	À cet égard, il ressort de l’article 55 du règlement 2016/679 que cet article a pour objet de définir la compétence en matière de contrôle des traitements de données à caractère personnel et, en particulier, de délimiter la compétence dévolue à l’autorité de contrôle nationale.

30	L’article 55, paragraphe 3, du règlement 2016/679 prévoit ainsi qu’échappent à la compétence de cette autorité de contrôle les opérations de traitement effectuées par les juridictions « dans l’exercice de leur fonction juridictionnelle ».

Le considérant 20 du règlement 2016/679, à la lumière duquel cet article 55, paragraphe 3, doit être lu, précise qu’il devrait être possible de confier le contrôle des opérations de traitement effectuées par les juridictions « dans l’exercice de leur fonction juridictionnelle » à des organes spécifiques au sein de l’appareil judiciaire de l’État membre concerné plutôt qu’à l’autorité de contrôle qui relève de ce dernier, dans le but de « préserver l’indépendance du pouvoir judiciaire dans l’accomplissement de ses missions judiciaires, y compris lorsqu’il prend des décisions ».

Ainsi que M. l’avocat général l’a relevé aux points 80 et 81 de ses conclusions, il ressort des termes mêmes du considérant 20 du règlement 2016/679, et notamment de l’utilisation de la locution « y compris », que la portée de l’objectif poursuivi par l’article 55, paragraphe 3, de ce règlement, consistant à préserver l’indépendance du pouvoir judiciaire dans l’exercice de ses missions judiciaires, ne saurait être cantonnée à la seule garantie de l’indépendance des juges dans le cadre de l’adoption d’une décision juridictionnelle donnée.

En effet, la préservation de l’indépendance du pouvoir judiciaire suppose, de manière générale, que les fonctions juridictionnelles soient exercées en toute autonomie, sans que les juridictions soient soumises à aucun lien hiérarchique ou de subordination ni ne reçoivent d’ordres ou d’instructions de quelque origine que ce soit, étant ainsi protégées de toute intervention ou pression extérieure susceptible de nuire à l’indépendance de jugement de leurs membres et d’influencer leurs décisions. Le respect des garanties d’indépendance et d’impartialité requises en vertu du droit de l’Union suppose l’existence de règles qui permettent d’écarter tout doute légitime, dans l’esprit des justiciables, quant à l’imperméabilité de l’instance en cause à l’égard d’éléments extérieurs et à sa neutralité par rapport aux intérêts concernés [voir en ce sens, notamment, arrêts du 27 février 2018, Associação Sindical dos Juízes Portugueses, C-64/16, EU:C:2018:117, point 44 ; du 25 juillet 2018, Minister for Justice and Equality (Défaillances du système judiciaire), C-216/18 PPU, EU:C:2018:586, point 63 ; du 24 juin 2019, Commission/Pologne (Indépendance de la Cour suprême), C-619/18, EU:C:2019:531, point 72, ainsi que du 21 décembre 2021, Euro Box Promotion e.a., C-357/19, C-379/19, C-547/19, C-811/19, C-840/19, EU:C:2021:1034, point 225].

Partant, la référence aux opérations de traitement effectuées par les juridictions « dans l’exercice de leur fonction juridictionnelle » figurant à l’article 55, paragraphe 3, du règlement 2016/679 doit être comprise, dans le contexte de ce règlement, comme n’étant pas limitée aux traitements de données à caractère personnel mis en œuvre par les juridictions dans le cadre d’affaires concrètes, mais comme visant, plus largement, l’ensemble des opérations de traitement effectuées par les juridictions dans le cadre de leur activité juridictionnelle, de sorte que sont exclues de la compétence de l’autorité de contrôle les opérations de traitement dont le contrôle par cette autorité serait susceptible, de manière directe ou indirecte, d’avoir une influence sur l’indépendance de leurs membres ou de peser sur leurs décisions.

À cet égard, si la nature et la finalité du traitement mis en œuvre par une juridiction se rattachent principalement à l’examen de la légalité de ce dernier, elles peuvent constituer des indices pouvant révéler que ce traitement relève de l’exercice, par cette juridiction, de sa « fonction juridictionnelle ».

En revanche, se rattachent pour leur part exclusivement à l’examen de la légalité du traitement les points de savoir si ce dernier repose sur une base légale explicite en droit interne ou si les données à caractère personnel qu’il contient peuvent être légalement divulguées à des tiers, ces éléments étant dépourvus de pertinence en vue de déterminer si l’autorité de contrôle est compétente pour assurer le contrôle de ce traitement sur le fondement de l’article 55 du règlement 2016/679.

S’agissant d’un traitement tel que celui en cause au principal, il y a lieu de constater que, sans préjudice du respect des obligations de fond prévues par le règlement 2016/679, échappent, notamment, à la compétence de l’autorité de contrôle, en application de l’article 55, paragraphe 3, de ce règlement, les traitements de données à caractère personnel mis en œuvre par les juridictions dans le cadre de leur politique de communication sur les affaires dont elles ont à connaître, tels que ceux consistant en la mise à disposition temporaire à des journalistes de pièces d’un dossier de procédure juridictionnelle en vue de leur permettre d’en assurer la couverture médiatique.

En effet, la détermination, eu égard à l’objet et au contexte d’une affaire donnée, des informations issues d’un dossier de procédure juridictionnelle pouvant être fournies à des journalistes dans le but de leur permettre de rendre compte du déroulement de la procédure juridictionnelle ou d’éclairer tel ou tel aspect d’une décision rendue se rattache clairement à l’exercice, par ces juridictions, de leur « fonction juridictionnelle », dont le contrôle par une autorité extérieure serait susceptible de porter atteinte, de manière générale, à l’indépendance du pouvoir judiciaire.

Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question posée que l’article 55, paragraphe 3, du règlement 2016/679 doit être interprété en ce sens que le fait pour une juridiction de mettre à la disposition temporaire de journalistes des pièces issues d’une procédure juridictionnelle, contenant des données à caractère personnel, afin de leur permettre de mieux rendre compte du déroulement de cette procédure relève de l’exercice, par cette juridiction, de sa « fonction juridictionnelle », au sens de cette disposition.

Sur les dépens

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 55, paragraphe 3, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), doit être interprété en ce sens que le fait pour une juridiction de mettre à la disposition temporaire de journalistes des pièces issues d’une procédure juridictionnelle, contenant des données à caractère personnel, afin de leur permettre de mieux rendre compte du déroulement de cette procédure relève de l’exercice, par cette juridiction, de sa « fonction juridictionnelle », au sens de cette disposition.

Signatures

( *1 ) Langue de procédure : le néerlandais.

Textes cités dans la décision