CJUE, n° C-755/21, Conclusions de l'avocat général de la Cour, Marián Kočner contre Agence de l’Union européenne pour la coopération des services répressifs (Europol), 15 juin 2023

Principes, objectifs et missions des traités·
Dispositions institutionnelles·
Protection des données·
Europol·
Etats membres·
Responsabilité·
Règlement·
Traitement de données·
Causalité·
Procès-verbal

Chronologie de l’affaire

Commentaire • 1

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Avocat général Rantos : Europol et un État membre dans lequel s’est produit un dommage en rapport avec un traitement illicite de données peuvent être solidairement…

CJUE · 15 juin 2023

COMMUNIQUE DE PRESSE n° 102/23 Luxembourg, le 15 juin 2023 Conclusions de l'avocat général dans l'affaire C-755/21 P | Kočner/Europol Avocat général Rantos : Europol et un État membre dans lequel s'est produit un dommage en rapport avec un traitement illicite de données peuvent être solidairement responsables À la suite de l'assassinat en Slovaquie, le 21 février 2018, d'un journaliste slovaque et de sa fiancée, M. Ján Kuciak et Mme Martina Kušnírová, les autorités slovaques ont mené une vaste enquête. À la demande des autorités slovaques, l'Agence de l'Union européenne pour la …

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Sur la décision

Référence :	CJUE, Cour, 15 juin 2023, C-755/21
Numéro(s) :	C-755/21
Conclusions de l'avocat général M. A. Rantos, présentées le 15 juin 2023.#Marián Kočner contre Agence de l’Union européenne pour la coopération des services répressifs (Europol).#Pourvoi – Coopération des services répressifs – Règlement (UE) 2016/794 – Article 49, paragraphe 3, et article 50 – Protection des données à caractère personnel – Traitement de données illicite – Procédure pénale engagée en Slovaquie contre le requérant – Expertise réalisée par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) aux fins de l’instruction – Extraction de données de téléphones portables et d’un support de stockage USB appartenant au requérant – Divulgation de ces données – Préjudice moral – Recours en indemnité – Nature de la responsabilité extracontractuelle.#Affaire C-755/21 P.
Date de dépôt :	8 décembre 2021
Précédents jurisprudentiels :	1. 13 décembre 2018, Iran Insurance/Conseil, T-558/15, EU:T:2018:945 18 Arrêt du 9 septembre 1999, Lucaccioni/Commission ( C-257/98 P, EU:C:1999:402 20 Arrêt du 16 mars 2023, Towercast ( C-449/21, EU:C:2023:207 33 34 36 37 42 42. 46 51. 52. 55. 58 Voir arrêt du 6 novembre 2018, Scuola Elementare Maria Montessori/Commission, Commission/Scuola Elementare Maria Montessori et Commission/Ferracci ( C-622/16 P à C-624/16 P, EU:C:2018:873 62. 66. 67. 79. 82. 83. 84. arrêt du 18 mai 2017, Latvijas Dzelzceļš ( C-154/16, EU:C:2017:392 C-569/20, EU:C:2022:401 EKETA/Commission ( C-273/19 P, non publié, EU:C:2020:852 EMB Consulting e.a./BCE ( C-571/19 P, non publiée, EU:C:2020:208 É.R. e.a./Conseil et Commission, T-138/03, EU:T:2006:390 HTTS/Conseil ( C-123/18 P, EU:C:2019:694 Karen Millen Fashions ( C-345/13, EU:C:2014:2013 Ripa di Meana/Parlement ( C-360/02 P, EU:C:2004:690 Safa Nicu Sepahan/Conseil ( C-45/15 P, EU:C:2017:402 Tribunal de l' Union européenne du 29 septembre 2021, Kočner/Europol ( T-528/20

Solution :	Recours en responsabilité, Pourvoi
Identifiant CELEX :	62021CC0755
Identifiant européen :	ECLI:EU:C:2023:481
Télécharger le PDF original fourni par la juridiction

Sur les parties

Avocat général : Rantos
Parties :
INDIV c/ EUINST, Europol

Texte intégral

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. ATHANASIOS RANTOS

présentées le 15 juin 2023 ( 1 )

Affaire C-755/21 P

Marián Kočner

contre

Agence de l’Union européenne pour la coopération des services répressifs

« Pourvoi – Règlement (UE) 2016/794 – Agence de l’Union européenne pour la coopération des services répressifs (Europol) – Protection des données à caractère personnel – Articles 49 et 50 – Responsabilité d’Europol du fait d’un traitement incorrect de données – Considérant 57 – Nature de la responsabilité – Procédure pénale engagée en Slovaquie contre le requérant – Expertise réalisée par Europol aux fins de l’instruction – Extraction de données de téléphones mobiles et d’un périphérique USB appartenant au requérant – Prétendue divulgation non autorisée desdites données par Europol – Préjudice moral – Recours en indemnité – Lien de causalité »

I. Introduction

Par son pourvoi, M. Marián Kočner (ci-après le « requérant ») demande l’annulation de l’arrêt du Tribunal de l’Union européenne du 29 septembre 2021, Kočner/Europol (T-528/20, non publié, ci-après l’ arrêt attaqué , EU:T:2021:631), par lequel celui-ci a rejeté son recours tendant à obtenir l’indemnisation du préjudice moral qu’il estime avoir subi du fait de l’atteinte portée à son droit au respect de sa vie privée et familiale résultant, en substance, d’opérations de traitement de données par l’Agence de l’Union européenne pour la coopération des services répressifs (Europol), dans le cadre d’une enquête pénale engagée à son encontre par les autorités slovaques à la suite de l’assassinat d’un journaliste et de la fiancée de celui-ci.

Le présent pourvoi offre à la Cour, pour la première fois, l’occasion de se prononcer, notamment, sur la nature de la responsabilité extracontractuelle d’Europol au titre des articles 49 et 50 du règlement (UE) 2016/794 ( 2 ), interprétés à l’aune du considérant 57 de ce règlement et, plus particulièrement, sur l’existence du régime spécial de responsabilité solidaire entre Europol et l’État membre dans lequel s’est produit un dommage en conséquence d’un traitement incorrect de données par Europol ou cet État membre.

II. Le cadre juridique

Aux termes des considérants 56, 57 et 65 du règlement Europol :

« (56)

Il convient qu’Europol soit soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, agences et organes de l’Union, à l’exception des règles relatives à la responsabilité pour traitement illicite de données.

(57)

Il peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre. Il convient, par conséquent, qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables.

[…]

(65)

Europol traite des données qui exigent une protection particulière puisqu’elles comprennent des informations sensibles non classifiées et classifiées de l’UE. Il convient, par conséquent, qu’Europol établisse des règles en matière de confidentialité et de traitement de ces informations. Les règles en matière de protection des informations classifiées de l’UE devraient être compatibles avec la décision 2013/488/UE du Conseil [ ( 3 )]. »

En vertu de l’article 17, paragraphe 1, de ce règlement, Europol ne traite que les informations qui lui ont été fournies, notamment, par les États membres, conformément à leur droit national et à l’article 7 dudit règlement. En vertu du paragraphe 2 de cet article 17, Europol peut directement extraire et traiter des informations, y compris des données à caractère personnel, provenant de sources accessibles au public, y compris Internet et les données publiques.

L’article 32 du même règlement, intitulé « Sécurité du traitement », prévoit, à son paragraphe 1 :

« Europol met en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle ou la divulgation, la modification et l’accès non autorisés, ou contre toute autre forme de traitement non autorisé. »

L’article 49 du règlement Europol, intitulé « Dispositions générales en matière de responsabilité et droit à réparation », énonce, à son paragraphe 3 :

« Sans préjudice de l’article 49 [ ( 4 )], en matière de responsabilité extracontractuelle, Europol, conformément aux principes généraux communs aux droits des États membres, répare tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions. »

Intitulé « Responsabilité du fait d’un traitement incorrect de données et droit à réparation », l’article 50 de ce règlement dispose :

« 1. Toute personne physique ayant subi un dommage du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi, soit d’Europol conformément à l’article 340 [TFUE], soit de l’État membre où le fait dommageable s’est produit, conformément à son droit national. La personne physique forme un recours contre Europol devant la Cour de justice de l’Union européenne ou contre l’État membre devant une juridiction nationale compétente de cet État membre.

2. Le conseil d’administration est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément au paragraphe 1, lequel statue à la majorité des deux tiers de ses membres, sans préjudice du droit de former un recours contre cette décision conformément à l’article 263 [TFUE]. »

III. Les antécédents du litige

Dans le cadre d’une enquête menée par les autorités pénales slovaques à la suite de l’assassinat en Slovaquie, le 21 février 2018, d’un journaliste et de sa fiancée, Europol, à la demande de la Národná kriminálna agentúra (Agence nationale de lutte contre la criminalité, Slovaquie, ci-après la « NAKA »), a pris en charge, le 10 octobre 2018, deux téléphones portables qui auraient appartenu au requérant et, le 17 octobre 2018, un support de stockage USB.

S’agissant de ces téléphones portables, le 21 juin 2019, Europol a communiqué à la NAKA les rapports scientifiques définitifs relatifs aux opérations effectuées sur ceux-ci. Cette communication aurait été précédée, selon Europol, d’abord par la remise à la NAKA d’un disque dur contenant les données cryptées extraites desdits téléphones, attestée par un procès-verbal du 23 octobre 2018 (ci-après le « procès-verbal du 23 octobre 2018 »), et, ensuite, par la remise des téléphones en question à la NAKA, certifiée par un formulaire de réception/remise de preuves du 13 février 2019 ( 5 ).

10.	Des articles de presse et une publication sur un site Internet pendant le mois de mai 2019 auraient mis à la disposition du public des informations relatives au requérant issues de ces téléphones portables, y compris des transcriptions de ses communications intimes.

11.

S’agissant du support de stockage USB, dans son rapport du 13 janvier 2019, transmis à la NAKA le 14 février 2019, Europol a énoncé que le requérant était placé en détention pour présomption de délit financier depuis le 20 juin 2018 et que son nom était, entre autres, directement lié aux « listes dites mafieuses » et aux « Panama Papers » ( 6 ).

12.

Par courrier du 4 mai 2020, le requérant a réclamé à Europol, sur le fondement de l’article 50, paragraphe 1, du règlement Europol, une indemnisation d’un montant de 100000 euros, au titre de la réparation du préjudice moral qu’il estime avoir subi en raison, d’une part, de la publication dans la presse et sur Internet de données personnelles et, en particulier, de la publication des transcriptions de ses communications à caractère intime et sexuel et, d’autre part, de l’inscription de son nom sur les « listes des mafieux », dont la presse se serait fait l’écho à la suite de fuites portant sur le dossier de la procédure pénale nationale relative à l’assassinat mentionné au point 8 des présentes conclusions.

13.

À la suite de l’enquête menée par les autorités pénales slovaques, visée au point 8 des présentes conclusions, le requérant, poursuivi pour complicité d’assassinat en qualité de commanditaire, a été acquitté en première instance par un jugement qui a été annulé par le Najvyšší súd Slovenskej republiky (Cour suprême de la République slovaque), qui a renvoyé l’affaire en première instance.

IV. La procédure devant le Tribunal et l’arrêt attaqué

14.

Par acte déposé au greffe du Tribunal le 18 août 2020, le requérant a introduit un recours fondé sur les articles 268 et 340 TFUE ainsi que sur l’article 50, paragraphe 1, du règlement Europol tendant à obtenir l’indemnisation des préjudices moraux qu’il estime avoir subis en raison des comportements d’Europol. Il a demandé, respectivement, une réparation d’un montant de 50000 euros pour le préjudice moral qu’il aurait subi du fait de la divulgation de données à caractère personnel (premier chef de demande) et une réparation d’un même montant pour le préjudice moral qu’il aurait subi du fait de l’inscription sur les « listes des mafieux » (second chef de demande).

15.

Le Tribunal a rejeté ce recours. Il a conclu, s’agissant du premier chef de demande, que le requérant n’avait pas apporté la preuve d’un lien de causalité entre le dommage allégué et le comportement d’Europol ( 7 ) et, s’agissant du second chef de demande, que le requérant n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux » auraient été élaborées et tenues par une institution de l’Union et notamment par Europol ( 8 ). Il a également précisé, s’agissant des deux chefs de demande, que ces conclusions n’étaient pas remises en cause par le considérant 57 du règlement Europol, ni par l’article 49 ou par l’article 50 de ce règlement ( 9 ).

V. La procédure devant la Cour et les conclusions des parties

16.	Le 8 décembre 2021, le requérant a introduit un pourvoi contre l’arrêt attaqué. Il conclut à ce qu’il plaise à la Cour annuler l’arrêt attaqué et renvoyer l’affaire au Tribunal, ainsi que rendre une décision sur les dépens.

17.	Europol, soutenue par la République slovaque en tant que partie intervenante, conclut à ce qu’il plaise à la Cour rejeter le pourvoi et condamner le requérant aux dépens.

VI. Analyse

A. Sur le pourvoi

18.

À l’appui de son pourvoi, le requérant invoque six moyens, les premier à quatrième moyens concernant le préjudice moral subi en conséquence de la divulgation au public de données à caractère personnel (premier chef de demande en première instance) et les cinquième et sixième moyens concernant le préjudice moral subi en conséquence de l’inscription de son nom sur les « listes des mafieux » (second chef de demande en première instance) ( 10 ).

19.	Europol excipe, au préalable, de l’irrecevabilité des premier et cinquième moyens, question qu’il convient d’emblée d’examiner.

1. Sur la recevabilité des premier et cinquième moyens, tirés d’erreurs concernant la nature de la responsabilité d’Europol

20.

Europol fait valoir, pour l’essentiel, que les premier et cinquième moyens, tirés de ce que le Tribunal aurait commis une erreur de droit lorsqu’il a exclu la responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données en conséquence de l’action d’Europol ou de cet État membre, ont été soulevés, pour la première fois, au stade de la réplique en première instance. Il s’agirait donc de moyens nouveaux soulevés en cours d’instance et, par conséquent, irrecevables ( 11 ).

21.	Le requérant rétorque avoir invoqué ces arguments dans sa requête en première instance, lorsqu’il a mentionné le considérant 57 du règlement Europol ainsi que l’article 50, paragraphes 1 et 2, de ce règlement.

22.

À cet égard, je relève que, dans sa requête, le requérant a mis en cause la responsabilité d’Europol conformément à l’article 49, paragraphe 3, et à l’article 50 du règlement Europol ainsi que par renvoi au considérant 57 de ce règlement, qu’il a cité intégralement. Dans sa réplique, le requérant a ultérieurement étayé cet argument en précisant que, même s’il n’était pas établi qu’Europol était responsable du comportement contesté, ce dernier serait solidairement responsable du dommage causé avec l’État membre concerné.

23.	Dans ces conditions, j’estime que le requérant a soulevé un moyen relatif, en substance, à la responsabilité solidaire d’Europol dans sa requête en première instance et que, dès lors, les premier et cinquième moyens du pourvoi sont recevables.

2. Sur les moyens concernant le préjudice moral subi en conséquence de la divulgation au public de données à caractère personnel (premier chef de demande en première instance)

a) Sur le premier moyen, tiré d’une erreur de droit dans la qualification de la responsabilité d’Europol du fait d’un traitement incorrect de données

24.	Par son premier moyen, le requérant reproche au Tribunal, en substance, d’avoir exclu qu’Europol et l’État membre concerné étaient solidairement responsables des dommages nés d’un traitement illicite de données en méconnaissance du caractère contraignant du considérant 57 du règlement Europol.

25.

Le requérant, tout en reconnaissant que le libellé de l’article 50, paragraphes 1 et 2, du règlement Europol ne contient pas de disposition expresse prévoyant une responsabilité solidaire d’Europol et de l’État membre concerné, considère qu’une telle responsabilité ressort néanmoins de cette disposition, interprétée à la lumière du considérant 57 de ce règlement.

26.

Selon lui, premièrement, l’article 50, paragraphe 2, dudit règlement, lorsqu’il prévoit un règlement des différends entre Europol et l’État membre concerné, à travers le conseil d’administration d’Europol, ne pourrait être interprété autrement, sauf à priver cette disposition de toute signification.

27.	Deuxièmement, l’existence d’une responsabilité solidaire d’Europol en l’espèce se fonderait également sur l’objectif de la réglementation en question, qui découle notamment du considérant 57 du règlement Europol et qui consisterait en la protection accrue de la partie lésée ( 12 ).

28.	Troisièmement, les principes généraux du droit de l’Union permettraient, en tout état de cause, de déduire une responsabilité solidaire même en l’absence de réglementation expresse, eu égard à l’article 340 TFUE.

29.

Europol, soutenue par la République slovaque, souligne, à titre liminaire, qu’une responsabilité solidaire de l’Union et de l’État membre concerné lorsque l’un et l’autre agissent conjointement n’est pas reconnue, en principe, dans le cadre de l’article 340, deuxième alinéa, TFUE, mais nécessite une mention explicite en ce sens de la part du législateur de l’Union.

30.	En premier lieu, l’article 50 du règlement Europol ne serait pas applicable au traitement de données visé en l’espèce, car il s’appliquerait exclusivement aux traitements de données effectués dans le cadre des opérations et des missions d’Europol.

31.	En deuxième lieu, cette disposition ne s’appliquerait qu’aux dommages causés conjointement par l’Union et par un État membre et ne saurait être appliquée en l’absence de tout comportement illégal d’Europol et sans que soit établi un lien de causalité.

32.

En troisième lieu, tout d’abord, le considérant 57 de ce règlement, tout en faisant référence à la responsabilité solidaire, n’aurait pas de valeur contraignante et ne s’appliquerait pas en l’espèce. Ensuite, la notion de responsabilité solidaire présupposerait que plus d’une entité soit responsable du même préjudice et non qu’une entité dont la responsabilité n’est pas établie doive verser une indemnité. Enfin, le requérant n’aurait même pas introduit un recours en responsabilité contre l’État membre concerné ( 13 ).

33.

Je rappelle que, dans l’arrêt attaqué, le Tribunal a jugé que l’article 49, paragraphe 3, et l’article 50, paragraphe 1, du règlement Europol se limitent à préciser qu’Europol doit réparer tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions, conformément aux conditions fixées à l’article 340 TFUE, et que la condition relative au lien de causalité n’était pas remplie ( 14 ). À cet égard, si le considérant 57 de ce règlement envisage un mécanisme de solidarité, celui-ci ne trouverait ni expression ni fondement dans les dispositions dudit règlement ( 15 ).

34.

S’agissant de la responsabilité extracontractuelle de l’Union, il convient de relever que, conformément à l’article 340, deuxième alinéa, TFUE, « [e]n matière de responsabilité non contractuelle, l’Union doit réparer, conformément aux principes généraux communs aux droits des États membres, les dommages causés par ses institutions ou par ses agents dans l’exercice de leurs fonctions » ( 16 ). Selon une jurisprudence constante de la Cour, la responsabilité extracontractuelle de l’Union au titre de cette disposition suppose la réunion d’un ensemble de conditions en ce qui concerne l’illégalité du comportement reproché aux institutions, la réalité du dommage et l’existence d’un lien de causalité entre le comportement et le préjudice invoqué ( 17 ). Le caractère cumulatif de ces conditions implique que, dès lors que l’une d’entre elles n’est pas remplie, la responsabilité non contractuelle de l’Union ne saurait être engagée ( 18 ).

35.

S’agissant, plus particulièrement, de l’éventuelle responsabilité solidaire d’Europol sur le fondement de l’article 50 du règlement Europol, j’observe que, en principe, la responsabilité solidaire extracontractuelle implique que, si l’acte dommageable est imputable à plusieurs personnes, celles-ci sont obligées solidairement à la réparation du préjudice ( 19 ).

36.

Selon une jurisprudence également constante de la Cour, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie. En outre, la genèse d’une disposition du droit de l’Union peut également révéler des éléments pertinents pour son interprétation ( 20 ).

37.

En premier lieu, s’agissant du libellé de l’article 50, paragraphe 1, du règlement Europol, cette disposition prévoit, en substance, que toute personne physique ayant subi un dommage du fait d’une opération de traitement de données illicite a le droit d’obtenir réparation du préjudice subi, soit d’Europol, conformément à l’article 340 TFUE (devant le juge de l’Union), soit de l’État membre où le fait dommageable s’est produit, conformément à son droit national (devant la juridiction nationale compétente).

38.	Il me semble que cette disposition n’amène pas, sur la base de son seul libellé, à une interprétation univoque quant à la nature de la responsabilité en question.

39.

En effet, d’une part, l’emploi de l’expression « soit […] soit » n’est pas concluant à cet égard ( 21 ). Cette expression pourrait indiquer tout aussi bien que la responsabilité d’Europol est alternative à celle de l’État membre concerné ou que la personne lésée peut s’adresser indifféremment à l’institution concernée ou à l’État membre concerné pour l’intégralité du préjudice.

40.

D’autre part, le renvoi opéré par cette même disposition à l’article 340 TFUE n’est pas non plus concluant et, au vu du renvoi effectué par cette dernière disposition aux « principes généraux communs aux droits des États membres », comporte la nécessité d’une interprétation comparative, que j’effectuerai ci-après dans le contexte de l’interprétation téléologique de la disposition en question ( 22 ).

41.

En deuxième lieu, en ce qui concerne le contexte dans lequel l’article 50, paragraphe 1, du règlement Europol s’insère, je remarque, premièrement, que le considérant 56 du règlement Europol précise qu’Europol est soumise aux règles générales en matière de responsabilité contractuelle et extracontractuelle applicables aux institutions, aux agences et aux organes de l’Union, « à l’exception des règles relatives à la responsabilité pour traitement illicite de données ». S’agissant de ce traitement illicite de données, le considérant 57 de ce règlement ne pourrait être plus clair, lorsqu’il énonce qu’« [i]l convient […] qu’Europol et l’État membre dans lequel le fait dommageable s’est produit soient solidairement responsables », au motif qu’« [i]l peut être malaisé pour la personne physique concernée de déterminer si le dommage subi du fait d’un traitement illicite de données est la conséquence de l’action d’Europol ou d’un État membre ».

42.

Il est certes vrai, ainsi que le rappelle Europol, que le préambule d’un acte de l’Union n’a pas de valeur juridique contraignante et ne saurait être invoqué ni pour déroger aux dispositions mêmes de l’acte concerné ni pour interpréter ces dispositions dans un sens manifestement contraire à leur libellé ( 23 ). Néanmoins, au-delà de ces limites, les considérants constituent des éléments d’interprétation importants, qui sont de nature à éclairer la volonté de l’auteur de cet acte ( 24 ).

43.

Partant, dans la mesure où l’intention du législateur de l’Union, exprimée sans équivoque au considérant 57 du règlement Europol, de favoriser la personne lésée en introduisant la responsabilité solidaire d’Europol et de l’État membre concerné ne se heurte pas au libellé de l’article 50 de ce règlement, j’en tire la conclusion que cet article peut (et doit) être interprété à la lumière de ce considérant.

44.

Cette conclusion est confirmée par l’article 50, paragraphe 2, du règlement Europol, selon lequel le conseil d’administration de ce dernier est saisi de tout litige entre Europol et les États membres quant à la responsabilité ultime en matière de réparation accordée à une personne physique conformément à l’article 50, paragraphe 1, de ce règlement.

45.

En ce qui concerne, deuxièmement, l’argument d’Europol selon lequel, en substance, les activités de prise en charge et de décryptage effectuées par celui-ci sur les téléphones portables du requérant ne relèvent pas de la notion de « traitement de données à caractère personnel », au sens de l’article 50 du règlement Europol, je ne vois pas, et Europol n’explique pas, pour quelles raisons les activités de décryptage effectuées par Europol en l’espèce n’entreraient pas dans le cadre de la définition visée à l’article 88, paragraphe 2, sous a), TFUE, selon laquelle les tâches d’Europol peuvent comprendre « la collecte, le stockage, le traitement, l’analyse et l’échange des informations, transmises notamment par les autorités des États membres ou de pays ou instances tiers » ( 25 ).

46.

En troisième lieu, il me semble évident que, parmi les objectifs du règlement Europol, celui-ci, ainsi qu’il ressort de son considérant 57, vise à faciliter, par le biais d’une responsabilité solidaire d’Europol et de l’État membre concerné, l’introduction d’un recours en indemnité par une personne lésée par un traitement incorrect de données. Cette position est confirmée par la genèse de la disposition en question ainsi que par une interprétation comparative de celle-ci à la lumière des principes généraux communs aux droits des États membres.

47.

À cet égard, en ce qui concerne, premièrement, la genèse de l’article 50 du règlement Europol, je remarque que les libellés de cet article et du considérant 57 ressortent, tels quels, de la proposition initiale de la Commission ( 26 ), ce qui renforce l’interprétation selon laquelle ledit article transpose l’intention du législateur de l’Union, telle qu’exprimée à ce considérant, d’introduire une forme de responsabilité solidaire d’Europol et de l’État membre concerné ( 27 ).

48.

En outre, contrairement à l’argument soutenu par Europol, l’application de cette disposition ne saurait être limitée à la situation de préjudice causé conjointement par l’Union et un État membre, puisque, dans une telle situation, il incombe, à mon avis, au juge compétent de juger de la responsabilité respective des entités ou des personnes ayant causé le dommage ( 28 ).

49.

En ce qui concerne, deuxièmement, l’interprétation comparative de l’article 50, paragraphe 1, du règlement Europol, je rappelle que, conformément à cette disposition, la personne lésée peut faire valoir la responsabilité d’Europol « conformément à l’article 340 TFUE », lequel, à son deuxième alinéa, renvoie aux principes généraux communs aux droits des États membres ( 29 ).

50.

À cet égard, il me semble qu’il existe une forme de convergence des ordres juridiques des États membres en ce qui concerne l’existence d’une responsabilité solidaire dans des situations dans lesquelles un même dommage est imputable à plusieurs personnes ( 30 ). D’ailleurs, les principes de droit européen de la responsabilité civile vont dans le même sens ( 31 ).

51.

En outre, j’observe que le mécanisme de responsabilité solidaire n’est pas étranger au droit de l’Union en matière de traitement des données, puisque, notamment, l’article 82, paragraphe 4, du règlement 2016/679 introduit une telle responsabilité lorsque plusieurs responsables participent au même traitement ( 32 ).

52.

Cette conclusion n’est pas mise en cause par le principe jurisprudentiel selon lequel, dans des situations de responsabilité concurrente de l’Union et d’un État membre, les particuliers prétendument lésés doivent d’abord saisir les juridictions nationales ( 33 ). En effet, si ce principe s’applique à des situations de responsabilité conjointe, son application à des situations de responsabilité solidaire viendrait à vider celle-ci de tout effet utile.

53.

En conclusion, j’estime que le Tribunal a commis une erreur de droit lorsqu’il a exclu que l’article 50, paragraphe 1, du règlement Europol, interprété à la lumière du considérant 57 de ce règlement, introduit un régime de responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données en conséquence de l’action d’Europol ou de cet État membre.

54.	Je propose donc d’accueillir le premier moyen du pourvoi.

55.

Par conséquent, il conviendrait d’annuler l’arrêt attaqué en ce qu’il a exclu tout lien de causalité entre le dommage allégué par le requérant et un éventuel comportement d’Europol au seul motif que, pendant une certaine période, tant Europol que les autorités slovaques avaient été en possession des données contenues dans les téléphones portables en cause.

56.

Cela étant, je relève que, pour qu’Europol puisse être tenue solidairement responsable du dommage allégué, il convient encore d’établir, notamment, l’existence d’un lien de causalité entre le comportement allégué et ce dommage ( 34 ). En effet, l’existence d’une responsabilité solidaire requiert que les différents faits dommageables soient de nature à produire le dommage allégué, quelle que soit la violation qui a été la cause immédiate et déterminante de l’événement ( 35 ).

57.	Or, il est certes vrai que l’existence de ce lien de causalité en l’espèce est le fil conducteur des arguments développés dans le cadre des deuxième à quatrième et sixième moyens du pourvoi.

58.

Toutefois, étant donné que, dans l’arrêt attaqué, le Tribunal s’est limité, en substance, à se prononcer sur l’absence d’un lien de causalité « exclusif » entre le comportement d’Europol et le dommage allégué, et que cette analyse ne permet pas d’apprécier l’existence d’un lien de causalité tel que requis dans une situation de responsabilité solidaire, j’estime que, dans l’hypothèse où la Cour retiendrait ma proposition d’accueillir le premier moyen, il conviendrait d’annuler l’arrêt attaqué et de renvoyer l’affaire au Tribunal, en ce qui concerne le premier chef de demande en première instance, pour que celui-ci se prononce sur la question du lien de causalité dans le cadre de la responsabilité solidaire, ainsi que, le cas échéant, sur les autres conditions auxquelles est soumise la responsabilité extracontractuelle de l’Union et de ses institutions ou organes ( 36 ).

59.	Pour autant, dans l’hypothèse où la Cour ne serait pas d’accord avec la solution que j’ai proposée, j’examinerai également, ci-après, les autres moyens du pourvoi ( 37 ).

b) Sur le deuxième moyen, tiré d’une erreur dans l’interprétation du droit national régissant le contenu d’un dossier d’enquête

60.	Par son deuxième moyen, le requérant fait valoir que, contrairement aux règles nationales précisant le contenu d’un dossier d’enquête ( 38 ), le procès-verbal du 23 octobre 2018 ne faisait pas partie du dossier d’enquête le concernant, ce qui affecterait dès lors sa fiabilité.

61.

Dans l’arrêt attaqué, le Tribunal s’est appuyé sur le procès-verbal du 23 octobre 2018 pour conclure que, à compter de cette date, Europol n’était pas la seule entité en possession des données contenues dans les téléphones portables en cause, puisque les autorités slovaques disposaient également de ces données ( 39 ).

62.

En réponse à la contestation du requérant quant à l’authenticité de ce procès-verbal, le Tribunal a jugé que l’éventuel défaut d’intégration de ce document dans le dossier d’une procédure pénale ne saurait, en tant que tel, emporter des conséquences sur son authenticité et que le requérant n’avait nullement allégué le caractère altéré dudit procès-verbal ( 40 ).

63.

À cet égard, il me semble que l’argument du requérant, en ce qui concerne l’éventuelle violation de règles nationales relatives au contenu du dossier – et qui, par ailleurs, ne concernent pas l’authenticité des documents y inclus – est inopérant, en ce qu’il ne suffit pas pour démontrer que le Tribunal a commis une erreur dans l’appréciation de la validité du procès-verbal du 23 octobre 2018 et encore moins qu’il a dénaturé cet élément de preuve en n’ayant pas tenu compte de la réglementation nationale invoquée par le requérant en première instance. En effet, il convient de distinguer, d’une part, l’éventuelle non-conformité de ce procès-verbal aux règles nationales relatives au contenu du dossier, qui affecterait, le cas échéant, la validité dudit procès-verbal en tant qu’élément de ce dossier ( 41 ), et, d’autre part, l’existence (et donc l’authenticité) de ce même procès-verbal et son éventuelle valeur probante dans le cadre de la présente affaire.

64.

De même, au vu du caractère évidemment non pertinent de la réglementation nationale invoquée par le requérant afin d’entacher la valeur probatoire du procès-verbal en question, l’argument tiré d’un défaut de motivation de l’arrêt attaqué à cet égard, soulevé au demeurant par le requérant, ne saurait prospérer.

65.	Je propose donc d’écarter le deuxième moyen du pourvoi.

c) Sur le troisième moyen, tiré d’erreurs de fait dans l’appréciation du lien de causalité, en ce qui concerne le premier chef de demande en première instance

66.

Par son troisième moyen, le requérant fait valoir, en premier lieu, que le procès-verbal du 23 octobre 2018 (dont l’authenticité est, par ailleurs, contestée) ne fait preuve que de la transmission de « résultats provisoires » sous la forme d’acquisitions et d’extractions des données, ce qui ne prouve pas qu’ont également été remises les « communications » qui font l’objet de la présente procédure ( 42 ).

67.	À cet égard, je relève que, au point 68 de l’arrêt attaqué, le Tribunal a conclu que, à la date du procès-verbal susvisé, Europol n’était plus la seule entité détentrice des données litigieuses, qui étaient à partir de cette date accessibles aux autorités slovaques ( 43 ).

68.

Or, il me semble que les doutes soulevés par le requérant à l’égard du contenu exact des données transmises par Europol aux autorités slovaques et son désaccord avec l’interprétation, de la part du Tribunal, de l’expression « résultats préliminaires » contenue dans le procès-verbal du 23 octobre 2018 ne suffisent pas à établir l’existence d’erreurs de fait ou d’appréciation qui entraîneraient une dénaturation des éléments de preuve de la part du Tribunal.

69.

En deuxième lieu, le requérant avance que le Tribunal n’a pas établi qu’Europol n’a jamais eu à sa disposition les communications litigieuses sous une forme décryptée ( 44 ), que même une fuite sous forme cryptée aurait pu donner lieu au prétendu dommage, après avoir été décryptées par un tiers non autorisé ( 45 ), et que, en l’espèce, un décryptage aurait été particulièrement facile au vu du fait qu’Europol avait déjà extrait les fichiers avec les mots de passe associés.

70.

Or, s’il ne saurait être exclu, ainsi que le prétend le requérant, que les données litigieuses aient pu faire l’objet d’une fuite même sous une forme cryptée, le requérant n’a présenté aucun élément ou indice qui laisserait supposer qu’une telle fuite s’est produite lorsque les téléphones portables en cause étaient à la disposition d’Europol ( 46 ), et encore moins que l’appréciation du Tribunal, selon laquelle les données cryptées n’ont pas été à l’origine de la fuite des communications litigieuses, est entachée d’une dénaturation des éléments de preuve ( 47 ).

71.

En troisième lieu, le requérant réitère l’allégation selon laquelle le procès-verbal du 23 octobre 2018 aurait été antidaté, rejetée par le Tribunal comme n’étant assortie d’aucun commencement de preuve ( 48 ), sans fournir davantage d’éléments qui permettraient de déduire que le Tribunal a procédé à une dénaturation des faits ( 49 ).

72.	En quatrième lieu, le requérant ajoute que les téléphones portables en cause avaient été remis aux fins de l’acquisition et de l’extraction sans le consentement préalable d’une juridiction ou d’une entité administrative indépendante, ce qui démontrerait l’existence d’un lien de causalité.

73.	À cet égard, j’ai du mal à concevoir comment une éventuelle violation des normes en matière d’acquisition et d’extraction des données litigieuses puisse, à elle seule, prouver l’existence d’un lien entre cette acquisition ou cette extraction et la fuite de ces données dans le domaine public ( 50 ).

74.

En effet, le fait que les données litigieuses aient été transmises par Europol aux autorités slovaques suffit, à mon avis, à briser le lien de causalité « exclusif » entre la fuite de ces données et le comportement d’Europol, indépendamment du fait que cette dernière disposait également desdites données sous une forme cryptée ou décryptée et du niveau de l’éventuel décryptage ( 51 ).

75.	Je propose donc d’écarter le troisième moyen du pourvoi.

d) Sur le quatrième moyen, tiré d’un défaut de motivation et d’erreurs de droit en ce qui concerne l’administration de la preuve, de la dénaturation des éléments de preuve et de la violation des droits de la défense

76.

Par la première branche de son quatrième moyen, le requérant reproche au Tribunal de ne pas avoir motivé sa constatation selon laquelle l’article 50, paragraphes 1 et 2, du règlement Europol ne saurait être considéré comme fondant une responsabilité solidaire et d’avoir violé les règles concernant la charge de la preuve.

77.

Or, il ressort de l’analyse effectuée aux points 24 à 53 des présentes conclusions que la motivation du Tribunal a permis au requérant de comprendre les raisons pour lesquelles celui-ci a estimé que l’article 50 du règlement Europol ne fondait pas une responsabilité solidaire et de formuler ses arguments à leur encontre. Elle permet également à la Cour, à mon avis, d’exercer son contrôle juridictionnel.

78.	Par la deuxième branche de son quatrième moyen, le requérant fait valoir, en substance, que le Tribunal a renversé la charge de la preuve en faisant peser sur lui en première instance la charge de démontrer que des informations avaient fuité des services d’Europol.

79.	Dans l’arrêt attaqué, le Tribunal a conclu que le requérant n’avait pas rapporté la preuve d’un lien de causalité entre le dommage allégué et un éventuel comportement d’Europol et que cela suffisait pour exclure toute responsabilité de ce dernier au sens de l’article 340 TFUE.

80.

Or, à mon avis, l’appréciation du Tribunal a été effectuée, en principe, à bon droit, à la lumière d’une jurisprudence constante selon laquelle il incombe à la partie mettant en cause la responsabilité non contractuelle de l’Union d’apporter des preuves concluantes de l’existence d’un lien suffisamment direct de cause à effet entre le comportement de l’institution en question et le dommage allégué ( 52 ).

81.

Par la troisième branche de son quatrième moyen, le requérant reproche au Tribunal de ne pas avoir pris en considération en tant qu’élément de preuve le dossier d’enquête pénale nationale le concernant ainsi que le décret du ministère de la Justice slovaque ( 53 ), qui établit le contenu de ce dossier. En substance, le requérant réitère l’argument avancé dans le cadre du deuxième moyen, selon lequel le procès-verbal du 23 octobre 2018 devrait figurer dans le dossier d’enquête pénale le concernant, conformément aux prescriptions de ce décret.

82.

À cet égard, il suffit de rappeler que, ainsi que je l’ai relevé dans le cadre de l’analyse du deuxième moyen, l’argument du requérant tiré de l’éventuelle violation des règles nationales relatives au contenu du dossier n’est pas pertinent, puisqu’un éventuel défaut de conformité de ce procès-verbal aux règles nationales relatives au contenu du dossier n’affecterait pas la valeur probante dudit procès-verbal dans le cadre de la présente affaire ( 54 ).

83.

S’agissant de l’argument selon lequel le fait qu’Europol ait allégué qu’une photographie du procès-verbal du 23 octobre 2018 démontrerait que ce dernier ne disposait pas de ce procès-verbal et l’aurait obtenu des autorités slovaques dans le cadre de la procédure judiciaire, force est de constater qu’il s’agit, ainsi que l’explicite le requérant, d’une « conviction » de son avocat, qui n’est appuyée par aucun indice ou élément de preuve ( 55 ).

84.

Par la quatrième branche de son quatrième moyen, le requérant reproche au Tribunal d’avoir violé ses droits de la défense, au motif qu’il n’a pas pu s’exprimer, lors de l’audience de plaidoiries du 30 juin 2021, sur l’antidatation du procès-verbal du 23 octobre 2018. Sans qu’il ne le précise explicitement, il semble évoquer une méconnaissance du principe du contradictoire.

85.

Cependant, le requérant n’explique pas quels sont les arguments et les éléments qu’il aurait pu faire valoir si ses droits de la défense avaient été respectés ni que, en l’absence de la prétendue méconnaissance du principe du contradictoire, ses arguments auraient pu modifier la solution du litige ( 56 ).

86.

Par ailleurs, aux points 74 à 78 de l’arrêt attaqué, le Tribunal s’est prononcé sur les arguments du requérant concernant cette prétendue antidatation, en observant notamment que ces arguments n’étaient soutenus par aucun commencement de preuve et que le requérant n’avait pas allégué, au stade de la réplique, le caractère altéré du procès-verbal du 23 octobre 2018 ou de sa copie.

87.

En effet, le requérant se limite à relever que l’on ignore, à ce jour, où se trouve l’exemplaire original du procès-verbal du 23 octobre 2018, qu’il ne figure pas dans le dossier judiciaire de l’affaire dont il est censé provenir et qu’il ressortirait des documents provenant d’une autre affaire pénale qu’il existerait au moins deux exemplaires distincts de ce procès-verbal.

88.

À cet égard, il convient de relever que, selon le principe de libre appréciation de la preuve, consacré par la jurisprudence de la Cour, la détermination de la valeur probante des éléments de preuve est laissée au pouvoir d’appréciation du Tribunal ( 57 ), sous réserve de la dénaturation de ces éléments de preuve, laquelle, selon une jurisprudence constante de la Cour, doit apparaître de façon manifeste des pièces du dossier, sans qu’il soit nécessaire de procéder à une nouvelle appréciation des faits et des preuves ( 58 ), ce qui ne me semble pas le cas en l’occurrence.

89.	Je propose donc d’écarter le quatrième moyen du pourvoi.

3. Sur les moyens concernant le préjudice moral subi en conséquence de l’inscription du nom du requérant sur les « listes des mafieux » (second chef de demande en premier instance)

a) Sur le cinquième moyen, tiré d’une erreur de droit dans la qualification de la responsabilité d’Europol du fait d’un traitement incorrect de données

90.

Par son cinquième moyen, qui renvoie entièrement au premier moyen, le requérant reproche, en substance, au Tribunal d’avoir exclu qu’Europol et l’État membre concerné étaient solidairement responsables des dommages nés d’un traitement illicite de données, en méconnaissance du caractère contraignant du considérant 57 du règlement Europol.

91.

Ainsi qu’il ressort de l’analyse du premier moyen ( 59 ), le Tribunal a commis une erreur de droit en ce qu’il a exclu que l’article 50, paragraphe 1, du règlement Europol, interprété à la lumière du considérant 57 de ce règlement, introduit un régime de responsabilité solidaire entre Europol et l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données par Europol ou cet État membre.

92.

Cela étant, j’observe que, en ce qui concerne le second chef de demande, le Tribunal a conclu, au point 102 de l’arrêt attaqué, que le requérant n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux » sur lesquelles son nom aurait été inscrit auraient été élaborées et tenues par une institution de l’Union et, en particulier, par Europol.

93.	À mon avis, l’erreur de droit commise par le Tribunal n’est pas de nature à remettre en question cette constatation, pour autant qu’elle n’est pas remise en cause par les arguments avancés dans le cadre du sixième moyen, ainsi que je l’examinerai ci-après.

94.	Dans ces circonstances, je propose d’écarter le cinquième moyen du pourvoi comme étant inopérant.

b) Sur le sixième moyen, tiré d’erreurs de fait dans l’appréciation du lien de causalité en ce qui concerne le second chef de demande en première instance

95.	Par son sixième moyen, le requérant fait valoir, en substance, que rien ne permettait à Europol d’établir un lien entre lui-même et les soi-disant « listes des mafieux ».

96.

Toutefois, ainsi que le Tribunal l’a relevé, Europol, dans son rapport du 13 janvier 2019 ( 60 ), s’est limité à indiquer que le nom du requérant était, entre autres, « directement lié aux listes dites mafieuses et aux Panama Papers », sans l’inscrire sur une quelconque liste, et avait constaté que des articles de presse antérieurs à ce rapport avaient déjà fait état d’éventuelles implications mafieuses du requérant ( 61 ).

97.

Cette conclusion n’est pas remise en cause par les arguments du requérant, qui se limitent, en substance, à faire valoir qu’Europol n’a pas expliqué la raison pour laquelle elle avait établi un lien entre le requérant et les « listes des mafieux » et que, par ce comportement, elle avait violé le principe de proportionnalité, étant donné que le « droit de tenir les listes de mafieux » n’a aucun fondement dans le droit national ou de l’Union.

98.

En effet, par ces arguments, le requérant part de la prémisse, non démontrée, qu’Europol l’a effectivement inscrit sur ces « listes de mafieux », sans remettre en cause la conclusion du Tribunal figurant au point 102 de l’arrêt attaqué, selon laquelle il n’avait fourni aucun élément de preuve à même d’établir que les « listes des mafieux » sur lesquelles son nom aurait été inscrit auraient été élaborées et tenues par une institution de l’Union et, en particulier, par Europol.

99.	Je propose donc d’écarter le sixième moyen du pourvoi et, en conséquence, de rejeter le pourvoi en ce qui concerne les moyens concernant le second chef de demande en première instance.

B. Sur le recours en première instance

100.	Ainsi qu’il ressort de l’analyse qui précède, je propose d’annuler l’arrêt attaqué en ce qui concerne le premier chef de demande en première instance et de rejeter le pourvoi en ce qui concerne le second chef de demande en première instance.

101.	En vertu de l’article 61 du statut de la Cour de justice de l’Union européenne, lorsque celle-ci annule la décision du Tribunal, elle peut statuer elle-même définitivement sur le litige, lorsque celui-ci est en état d’être jugé.

102.	J’estime que tel n’est pas le cas dans la présente affaire.

103.

En effet, je considère que l’erreur de droit commise par le Tribunal en ce qu’il a nié l’existence d’une responsabilité solidaire d’Europol et de l’État membre concerné quant aux dommages subis du fait d’un traitement illicite de données en conséquence de l’action d’Europol ou de cet État membre, implique une nouvelle appréciation factuelle du Tribunal relative à l’existence d’un lien de causalité entre le comportement d’Europol et le préjudice allégué par le requérant ( 62 ) et, le cas échéant, les autres conditions auxquelles est soumise la responsabilité extracontractuelle de l’Union et de ses institutions ou organes ( 63 ).

C. Sur les dépens

104.

Étant donné que je propose de renvoyer l’affaire devant le Tribunal, il y a lieu, conformément à l’article 137 du règlement de procédure de la Cour, applicable à la procédure de pourvoi en vertu de l’article 184, paragraphe 1, de ce règlement, de réserver la décision sur les dépens des parties relatifs à la procédure de pourvoi.

VII. Conclusion

105.

Eu égard aux considérations qui précèdent, je propose à la Cour :

–	d’annuler l’arrêt du Tribunal de l’Union européenne du 29 septembre 2021, Kočner/Europol (T-528/20, non publié, EU:T:2021:631), en ce qui concerne le premier chef de demande ;

–	de renvoyer l’affaire devant le Tribunal pour qu’il statue au fond sur le premier chef de demande,

–	de rejeter le pourvoi pour le surplus ;

–	de réserver les dépens.

( 1 ) Langue originale : le français.

( 2 ) Règlement du Parlement européen et du Conseil du 11 mai 2016 relatif à l’Agence de l’Union européenne pour la coopération des services répressifs (Europol) et remplaçant et abrogeant les décisions du Conseil 2009/371/JAI, 2009/934/JAI, 2009/935/JAI, 2009/936/JAI et 2009/968/JAI (JO 2016, L 135, p. 53, ci-après le « règlement Europol »).

( 3 ) Décision du Conseil du 23 septembre 2013 concernant les règles de sécurité aux fins de la protection des informations classifiées de l’Union européenne (JO 2013, L 274, p. 1).

( 4 ) Je remarque que la référence à cet article est probablement erronée et devrait être comprise comme un renvoi à l’article 50 du règlement Europol, ainsi qu’il ressort de la proposition initiale de la Commission européenne [COM(2013) 173 final du 27 mars 2013], dans laquelle l’article 51 (qui correspond à l’article 49 du règlement Europol) renvoyait à l’article 52 (qui correspond à l’article 50 de ce règlement).

( 5 ) En outre, le 1er avril 2019, les autorités slovaques auraient utilisé les informations contenues dans les téléphones portables en cause dans le cadre d’une procédure pénale à l’encontre du requérant et, ainsi qu’il ressortirait d’un procès-verbal des services de police slovaques du 18 juin 2019, celles-ci auraient procédé à une analyse des données contenues dans ces téléphones portables.

( 6 ) Arrêt attaqué, point 10.

( 7 ) Arrêt attaqué, point 91. Le Tribunal a constaté, premièrement, qu’Europol n’était pas la seule entité en possession des données contenues dans les téléphones portables en cause, les autorités slovaques disposant également de ces données (arrêt attaqué, points 68 et 84), deuxièmement, qu’Europol n’a jamais eu à sa disposition les communications litigieuses sous une forme décryptée et intelligible (arrêt attaqué, point 86) et, troisièmement, qu’il ressortirait d’un article de presse que des informations provenant du dossier national d’enquête auraient fait l’objet d’une fuite (arrêt attaqué, point 90).

( 8 ) Arrêt attaqué, point 102.

( 9 ) Arrêt attaqué, points 92 à 95 et 105.

( 10 ) Plus particulièrement, les premier et cinquième moyens concernent l’éventuelle existence d’une responsabilité solidaire d’Europol et de l’État membre concerné s’agissant des préjudices subis à cause d’un traitement illicite de données, conformément au considérant 57 du règlement Europol, tandis que les deuxième à quatrième et sixième moyens concernent, pour l’essentiel, l’appréciation du lien de causalité entre le préjudice prétendument subi par le requérant et les comportements d’Europol.

( 11 ) L’irrecevabilité de ces moyens n’a été ni soulevée par Europol dans sa duplique en première instance ni examinée d’office par le Tribunal dans l’arrêt attaqué. Cela étant précisé, l’absence de discussions sur cette question en première instance n’empêcherait pas la Cour, le cas échéant, de relever que le Tribunal a commis une erreur de droit en ne soulevant pas cette éventuelle irrecevabilité en tant que fin de non-recevoir d’ordre public.

( 12 ) Selon le requérant, d’ailleurs, le principe selon lequel tout législateur agit de manière rationnelle empêche de conférer à cette disposition un sens autre que celui qui ressort du considérant 57. Cette conclusion serait également confirmée par le fait que, sous l’empire de la réglementation antérieure au règlement Europol, l’État membre concerné était responsable même dans des situations où la responsabilité incombait également à Europol [selon l’article 52, paragraphe 1, de la décision 2009/371/JAI du Conseil, du 6 avril 2009, portant création de l’Office européen de police (Europol) (JO 2009, L 121, p. 37)]. Il serait incohérent de présumer que le législateur de l’Union aurait abandonné ce régime de responsabilité simplifiée pour un régime plus défavorable à l’égard de la personne lésée, qui devrait désormais établir au préalable l’entité responsable du dommage avant de pouvoir ester en justice, ce qui serait contraire à l’objectif poursuivi par cette réglementation.

( 13 ) Par ailleurs, le fait, évoqué par le requérant, que le législateur de l’Union aurait remplacé le précédent régime de responsabilité, selon lequel l’État concerné était le seul responsable même dans des situations où la responsabilité incombait également à Europol, ne soutiendrait pas la thèse du requérant selon laquelle l’actuel régime ne pourrait pas être plus défavorable à l’égard de la personne lésée (voir note en bas de page 11 des présentes conclusions). Ce changement législatif se justifierait simplement par le fait que, après les modifications introduites par le traité de Lisbonne, Europol relève finalement de la juridiction de la Cour.

( 14 ) Arrêt attaqué, point 93.

( 15 ) Arrêt attaqué, point 94.

( 16 ) De manière presque identique, l’article 41, paragraphe 3, de la charte des droits fondamentaux de l’Union européenne précise que « [t]oute personne a droit à la réparation par [l’Union] des dommages causés par les institutions, ou par ses agents dans l’exercice de leurs fonctions, conformément aux principes généraux communs aux droits des États membres ».

( 17 ) Voir arrêt du 10 septembre 2019, HTTS/Conseil (C-123/18 P, EU:C:2019:694, point 32 et jurisprudence citée).

( 18 ) Arrêt du 9 septembre 1999, Lucaccioni/Commission (C-257/98 P, EU:C:1999:402, point 63), ainsi que ordonnance du 12 mars 2020, EMB Consulting e.a./BCE (C-571/19 P, non publiée, EU:C:2020:208, point 29).

( 19 ) Voir, notamment, article 9:101 des principes de droit européen de la responsabilité civile du European Group on Tort Law (EGTL) (groupe européen sur la responsabilité civile) (tentative de codification des principes de droit européen de la responsabilité civile à partir de l’examen comparatif des systèmes nationaux), consultable à l’adresse suivante : http://www.egtl.org/PETLFrench.html. En ce qui concerne la définition de la responsabilité solidaire retenue par la Cour (en matière contractuelle), voir arrêt du 18 mai 2017, Latvijas Dzelzceļš (C-154/16, EU:C:2017:392, point 85), dans lequel la Cour souligne qu’il découle de la nature même de la responsabilité solidaire que chaque débiteur est responsable du montant total de la dette et que le créancier reste, en principe, libre de demander le paiement de cette dette à un ou à plusieurs débiteurs de son choix.

( 20 ) Arrêt du 16 mars 2023, Towercast (C-449/21, EU:C:2023:207, point 31 et jurisprudence citée).

( 21 ) Il en va de même dans d’autres versions linguistiques de ladite disposition. En effet, outre la version en langue française, à savoir la langue originale des présentes conclusions (« soit d’Europol […], soit de l’État membre »), voir, notamment, les versions en langues grecque (« είτε εκ μέρους της Ευρωπόλ […], είτε εκ μέρους του κράτους μέλους »), anglaise (« either from Europol […] or from the Member State ») et italienne (« da Europol […] o dallo Stato membro »).

( 22 ) Les deux méthodes étant étroitement liées (voir, en doctrine, Lenaerts, K., et Gutiérrez-Fons, J. A., Les méthodes d’interprétation de la Cour de justice de l’Union européenne, Bruylant, Bruxelles, 2020, p. 104).

( 23 ) Voir, notamment, arrêt du 19 juin 2014, Karen Millen Fashions (C-345/13, EU:C:2014:2013, point 31 et jurisprudence citée).

( 24 ) Voir arrêt du 19 mai 2022, Spetsializirana prokuratura (Procès d’un accusé en fuite) (C-569/20, EU:C:2022:401, point 32 et jurisprudence citée). Voir également, à titre d’information, Guide pratique commun du Parlement européen, du Conseil et de la Commission à l’intention des personnes qui contribuent à la rédaction des textes législatifs de l’Union européenne, Office des publications de l’Union européenne, Luxembourg, 2015. Selon le titre du point 10 de ce document, les considérants, notamment, « ont pour but de motiver de façon concise les dispositions essentielles du dispositif ».

( 25 ) Par ailleurs, le traitement de données à caractère personnel effectué par Europol en l’espèce pourrait également entrer dans les définitions de « données à caractère personnel », « données opérationnelles à caractère personnel » et « traitement » prévues à l’article 3, points 1), 2) et 3) du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39). S’il est vrai que, selon l’article 2, paragraphe 3, du règlement 2018/1725, ce règlement ne s’applique, notamment, au traitement des données opérationnelles à caractère personnel par Europol qu’une fois que le règlement Europol a été adapté conformément à l’article 98 de ce premier règlement, il me semble que, en l’absence de définitions ad hoc dans ce second règlement, les définitions en question puissent être utilisées, en l’espèce, comme paramètres d’interprétation. En outre, les définitions de « données à caractère personnel » et « traitement » correspondent à celles figurant à l’article 4, points 1) et 2), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2), lequel, toutefois, conformément à son article 2, paragraphe 2, sous d), ne s’applique pas, notamment, au traitement de données à caractère personnel effectué par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière.

( 26 ) En effet, le considérant 57 et l’article 50 du règlement Europol correspondent, respectivement, en substance, au considérant 47 et à l’article 52 de la proposition initiale de la Commission [COM(2013) 173 final du 27 mars 2013].

( 27 ) En revanche, je ne partage pas l’argument du requérant, qui s’inspire également de la genèse législative du règlement Europol, selon lequel ce règlement ne pouvait pas se contenter d’assurer, à la personne lésée, une protection moindre que celle garantie par la réglementation précédente (voir note en bas de page 11 des présentes conclusions). En effet, je trouve plus convaincante la position d’Europol, selon laquelle l’existence, dans la réglementation précédente, d’une responsabilité exclusive de l’État membre concerné pour tout préjudice résultant du stockage ou du traitement de données, y inclus concernant l’action d’Europol, était motivée par le fait que, à l’époque de cette réglementation (c’est-à-dire avant l’entrée en vigueur du traité de Lisbonne), l’action d’Europol ne relevait pas de la juridiction du juge de l’Union.

( 28 ) Étant entendu, comme le rappelle Europol, que, selon la jurisprudence, le juge de l’Union, avant de statuer, devrait attendre que la juridiction nationale se soit prononcée en premier (voir arrêt du 14 juillet 1967, Kampffmeyer e.a./Commission, 5/66, 7/66, 13/66 à 16/66 et 18/66 à 24/66, non publié, EU:C:1967:31, point 344). J’expliquerai plus en détail ce point à la note en bas de page 33 des présentes conclusions.

( 29 ) De façon très similaire, l’article 49 du règlement Europol énonce que ce dernier répare tout dommage causé par ses services ou par son personnel dans l’exercice de leurs fonctions « conformément aux principes généraux communs aux droits des États membres ».

( 30 ) Je cite, à titre d’exemple, l’article 840 du Bürgerliches Gesetzbuch (code civil allemand), l’article 926 Αστικού Κώδικα (code civil hellénique) et l’article 2055 du codice civile (code civil italien). Cette possibilité semble également prise en compte dans les systèmes de common law (voir Van Dam, C., « Causation », European Tort Law, Oxford, 2013, p. 331). Voir, également en ce sens, article 1265 du projet de réforme de la responsabilité civile dans l’ordre juridique français, dans lequel, en tout état de cause, semble déjà exister une obligation de responsabilité solidaire dite « in solidum » introduite par voie prétorienne (voir, en doctrine, Ligüerre, C. G., « Responsabilité solidaire et canalisation de la responsabilité », Revue des contrats, no 4, 2019, p. 252).

( 31 ) Un tel principe est notamment prévu à l’article 9:101 des principes de droit européen de la responsabilité civile (voir European Group on Tort Law, Principles of European Tort Law. Text and Commentary, SpringerWienNewYork, 2005, p. 206).

( 32 ) Cette disposition prévoit que, lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu’ils sont responsables d’un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective, la personne ayant réparé totalement le dommage subi pouvant, en vertu de l’article 82, paragraphe 5, de ce règlement, réclamer auprès des autres responsables la part de la réparation correspondant à leur part de responsabilité dans le dommage. L’application de cette disposition est exclue, en l’occurrence, en vertu de l’article 2, paragraphe 2, sous d), dudit règlement.

( 33 ) Plus précisément, par une jurisprudence qui remonte aux années soixante, le juge de l’Union a jugé que, lorsqu’un même dommage fait l’objet de deux actions en réparation, l’une dirigée contre un État membre devant une juridiction nationale, l’autre contre l’Union devant la juridiction de l’Union, il peut s’avérer nécessaire, avant de déterminer le montant du préjudice dont l’Union sera jugée responsable, d’attendre que la juridiction nationale se prononce sur la responsabilité éventuelle de l’État membre, afin d’éviter que le requérant soit, en raison d’une divergence d’appréciation entre deux juridictions différentes, insuffisamment ou abusivement indemnisé (voir arrêts du 14 juillet 1967, Kampffmeyer e.a./Commission, 5/66, 7/66, 13/66 à 16/66 et 18/66 à 24/66, non publié, EU:C:1967:31 ; du 30 novembre 1967, Becher/Commission, 30/66, EU:C:1967:44, ainsi que du 13 décembre 2006, É.R. e.a./Conseil et Commission, T-138/03, EU:T:2006:390, point 42). En doctrine, voir Lenaerts, K., e.a., EU Procedural Law, Oxford University Press, 2014, p. 506 et 507.

( 34 ) Même en l’absence d’une notion de lien de causalité propre au droit de l’Union (voir Van Dam, C., European tort law, Oxford, 2013, p. 321 ; Gutman, K., « The non-contractual liability of the European Union : principle, practice and promise », Research handbook on EU tort law, 2017, p. 26 à 60, en particulier p. 57), il me semble que les ordres juridiques nationaux des État membres requièrent cet élément en cas de responsabilité solidaire (voir, notamment, Infantino, M., et Zervogianni, Ε., « Causation in European Tort Law », The American Journal of Comparative Law, Cambridge, 2017, p. 652 et 653).

( 35 ) À cet égard, force est de constater que ni l’article 340, deuxième alinéa, TFUE, ni les principes relatifs à la responsabilité solidaire ressortant des principes généraux communs aux droits des États membres ne permettent d’établir la responsabilité d’une institution ou d’un organe de l’Union en l’absence de lien de causalité entre le comportement de ce dernier et le dommage présumé.

( 36 ) Voir point 34 des présentes conclusions.

( 37 ) Tout en faisant remarquer que, si la Cour suit ma proposition d’accueillir le premier moyen, les deuxième, troisième et quatrième moyens seront inopérants, le Tribunal devant, en tout état de cause, revoir son appréciation quant à l’existence du lien de causalité.

( 38 ) Règles contenues dans le décret du ministère de la Justice slovaque no 618/2005.

( 39 ) Voir arrêt attaqué, points 68 et 84. Le Tribunal a apprécié la valeur probante de ce document sur la base du principe de la libre appréciation de la preuve et compte tenu des éléments évoqués dans sa jurisprudence (à savoir arrêt du 13 décembre 2018, Iran Insurance/Conseil, T-558/15, EU:T:2018:945, points 153 et 154 ainsi que jurisprudence citée) (voir arrêt attaqué, point 80), en constatant que le procès-verbal en question indiquait avec précision les pièces et les données remises par l’agent d’Europol à celui de la NAKA, le dossier auquel les pièces et les données étaient associées, la modalité de remise de celles-ci, la qualité des agents en cause ainsi que la date et l’heure de la remise (voir arrêt attaqué, points 79 à 81).

( 40 ) Voir arrêt attaqué, notamment, points 71 et 77. Par ailleurs, le Tribunal a relevé que le même procès-verbal se présentait sur un papier à en-tête officiel de la NAKA, visait un dossier identifié et avait été daté ainsi que signé par un agent de la NAKA nommément identifié, qui indiquait prendre réception du disque dur concerné de la part d’un agent, également nommément identifié, d’Europol (point 76 de l’arrêt attaqué), circonstances qui ne sont pas contestées par le requérant.

( 41 ) Je relève, par ailleurs, que la République slovaque, dans son mémoire en intervention, réfute l’argument du requérant selon lequel le procès-verbal en question aurait dû faire partie du dossier d’enquête selon la réglementation nationale, en précisant que, conformément à cette dernière réglementation, certaines pièces de procédure ne sont pas incluses dans le dossier d’enquête original mais sont conservées dans un autre exemplaire de ce dossier.

( 42 ) Le requérant ajoute que la restitution des téléphones portables, mentionnée au point 67 de l’arrêt attaqué, n’est pas davantage pertinente à cet égard, car doivent être pris en compte non pas ces téléphones portables mais les données qu’ils contiennent. Par ailleurs, le fait que le parquet slovaque disposait dès le 1er avril 2019 des communications litigieuses n’impliquerait pas que la divulgation de ces données aurait émané de ces dernières.

( 43 ) Ce qui aurait été confirmé par le fait, rappelé par le requérant, que les autorités pénales slovaques avaient fait usage des données litigieuses le 1er avril 2019.

( 44 ) À cet égard, le requérant conteste la conclusion du Tribunal, ressortant d’un témoignage d’un agent d’Europol devant une juridiction pénale slovaque (voir arrêt attaqué, point 82), selon laquelle Europol se serait limitée « à l’acquisition et à l’extraction » des données des téléphones portables sous une forme cryptée, que les autorités slovaques auraient décrypté (voir arrêt attaqué, point 87). Selon le requérant, de telles opérations d’acquisition et d’extraction effectuées par Europol comportaient le téléchargement de fichiers et des mots de passe associés, ce qui aurait facilement permis à quiconque de décrypter les données en question.

( 45 ) À cet égard, le requérant soulève également un moyen tiré d’un défaut de motivation, en ce que le Tribunal n’aurait pas expliqué pourquoi des données qui ont pu fuiter sous une forme cryptée n’auraient pu être décryptées par un tiers. Il me semble toutefois que, en l’espèce, le Tribunal a expliqué à suffisance de droit qu’il considérait qu’Europol n’était pas responsable pour autant qu’elle n’avait pas disposé des communications litigieuses sous forme décryptée, la question de savoir si cette affirmation est fondée étant une question relative au bien-fondé de la motivation.

( 46 ) L’argument du requérant reste, donc, limité au domaine de la spéculation. Par ailleurs, le requérant reconnaît lui-même qu’il est difficile d’établir si la responsabilité du dommage incombe à Europol ou à l’État membre concerné et, pour cette raison, plaide pour la responsabilité solidaire de ces deux entités (voir premier et cinquième moyens de pourvoi).

( 47 ) Il convient de préciser que, s’il était établi qu’Europol n’a jamais eu à sa disposition les communications litigieuses sous une forme décryptée, cela constituerait un fort indice de l’absence d’un lien de causalité « non exclusif » entre le comportement d’Europol et le préjudice allégué, ce qui pourrait amener à exclure l’existence de ce lien de causalité également dans le cadre de la responsabilité solidaire d’Europol. Toutefois, il s’agit, à mon avis, d’une appréciation factuelle qui devrait être effectuée d’emblée par le Tribunal.

( 48 ) Arrêt attaqué, points 74 et 75.

( 49 ) Le requérant n’explique pas de quelle manière l’extraction des données des deux téléphones portables en cause aurait été réalisée postérieurement au procès-verbal du 23 octobre 2018, pas plus qu’il ne soutient d’ailleurs avoir contesté cette prétendue altération devant une juridiction pénale. De même, le fait que la défenderesse n’aurait présenté qu’une photographie du procès-verbal du 23 octobre 2018 ne suffit pas à démontrer que ce dernier a été antidaté, ni a fortiori à démontrer que, en ne concluant pas de telle sorte, le Tribunal a dénaturé cet élément de preuve.

( 50 ) Voir également point 63 des présentes conclusions.

( 51 ) En effet, à partir du partage des données en question entre Europol et les autorités slovaques, il ne saurait être établi que seule Europol disposait des téléphones portables en cause et des transcriptions qu’ils contenaient, tel que déterminé par le Tribunal aux points 64 et 65 de l’arrêt attaqué.

( 52 ) Voir, notamment, arrêt du 30 mai 2017, Safa Nicu Sepahan/Conseil (C-45/15 P, EU:C:2017:402, point 62 et jurisprudence citée). Cette conclusion, qui concerne une appréciation de nature générale de la charge de la preuve du lien de causalité telle qu’appliquée en toute instance de recours en indemnité, est sans préjudice de l’appréciation concernant la nature de la responsabilité d’Europol, effectuée dans le cadre des premier et cinquième moyens. En effet, si la Cour conclut, ainsi que je le propose aux points 24 à 54 des présentes conclusions, qu’Europol est soumise, en l’espèce, à une responsabilité solidaire avec l’État membre concerné, il s’ensuit que le Tribunal, tout en appliquant un standard de preuve erroné (exigeant la preuve d’un lien de causalité « exclusif » entre le traitement des données d’Europol et le dommage allégué), a fait peser, à juste titre, la charge de la preuve relative au lien de causalité sur le requérant en première instance.

( 53 ) Bien que le requérant ne le précise pas, il se réfère probablement au décret no 618/2005, cité dans le cadre du deuxième moyen.

( 54 ) Voir point 63 des présentes conclusions.

( 55 ) Il en va de même de l’allégation du requérant selon laquelle le contenu du procès-verbal en question aurait été altéré, ce qui n’est démontré par aucun indice à l’appui (voir note en bas de page 49 des présentes conclusions).

( 56 ) Voir, en ce sens, ordonnance du 29 octobre 2004, Ripa di Meana/Parlement (C-360/02 P, EU:C:2004:690, point 36).

( 57 ) Voir, en ce sens, arrêt du 22 octobre 2020, EKETA/Commission (C-273/19 P, non publié, EU:C:2020:852, point 69).

( 58 ) Voir arrêt du 6 novembre 2018, Scuola Elementare Maria Montessori/Commission, Commission/Scuola Elementare Maria Montessori et Commission/Ferracci (C-622/16 P à C-624/16 P, EU:C:2018:873, point 86 ainsi que jurisprudence citée).

( 59 ) Voir points 33 à 53 des présentes conclusions.

( 60 ) Voir point 11 des présentes conclusions.

( 61 ) Arrêt attaqué, point 107.

( 62 ) En effet, comme je l’ai précisé aux points 56 à 58 des présentes conclusions, l’existence d’une responsabilité solidaire n’implique pas l’existence d’un lien de causalité « exclusif » entre le comportement d’une des personnes responsables et le préjudice présumé conformément aux règles communes (ainsi que l’a examiné le Tribunal en l’occurrence), mais bien que les différents faits dommageables soient de nature à produire le dommage allégué.

( 63 ) Voir point 34 des présentes conclusions.

Textes cités dans la décision