CJUE, n° C-169/23, Arrêt de la Cour, Nemzeti Adatvédelmi és Információszabadság Hatóság contre UC, 28 novembre 2024

CJUE, Demande (JO) 17 mars 2023

CJUE, Conclusions de l'avocat général 6 juin 2024

CJUE, Arrêt 28 novembre 2024

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Violation de l'obligation d'information
La cour a estimé que l'exception à l'obligation d'information ne s'appliquait pas dans ce cas, car certaines données avaient été générées par le responsable du traitement lui-même et non obtenues d'un tiers.

Résumé par Doctrine IA

La décision de la Cour concerne une demande de renvoi préjudiciel sur l'interprétation du RGPD, notamment des articles 14 et 77, en lien avec le traitement des données personnelles pour la délivrance de certificats COVID-19. La question principale est de savoir si l'exception à l'obligation d'information, prévue à l'article 14, paragraphe 5, sous c), s'applique uniquement aux données collectées auprès d'autres personnes ou également à celles générées par le responsable du traitement. La Cour a répondu que cette exception s'applique à toutes les données non collectées directement auprès de la personne concernée. De plus, elle a précisé que l'autorité de contrôle peut vérifier si le droit national prévoit des mesures appropriées pour protéger les intérêts légitimes des personnes concernées, mais pas le caractère approprié des mesures de sécurité des données.

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Commentaires • 2

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Revues françaises

Institut National de la Propriété Industrielle · 2 juin 2025

2. RGPD / Données personnelles / Responsable de traitement / Obligation d‘information / Covid

dbfbruxelles.eu

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Sur la décision

Référence :	CJUE, Cour, 28 nov. 2024, C-169/23
Numéro(s) :	C-169/23
Arrêt de la Cour (troisième chambre) du 28 novembre 2024.#Nemzeti Adatvédelmi és Információszabadság Hatóság contre UC.#Demande de décision préjudicielle, introduite par la Kúria.#Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données – Règlement (UE) 2016/679 – Données traitées lors de l’établissement d’un certificat COVID-19 – Données n’ayant pas été collectées auprès de la personne concernée – Informations à fournir – Exception à l’obligation d’information – Article 14, paragraphe 5, sous c) – Données générées par le responsable du traitement dans le cadre de son propre processus – Droit de réclamation – Compétence de l’autorité de contrôle – Article 77, paragraphe 1 – Mesures appropriées visant à protéger les intérêts légitimes de la personne concernée prévues par le droit de l’État membre auquel le responsable du traitement est soumis – Mesures visant la sécurité du traitement des données – Article 32.#Affaire C-169/23.
Date de dépôt :	17 mars 2023
Précédents jurisprudentiels :	12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2 arrêt du 21 mars 2024, Cobult, C-76/23, EU:C:2024:253 IAB Europe, C-604/22, EU:C:2024:214 MediaMarktSaturn, C-687/21, EU:C:2024:72 Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986
Solution :	Renvoi préjudiciel
Identifiant CELEX :	62023CJ0169
Identifiant européen :	ECLI:EU:C:2024:988
Télécharger le PDF original fourni par la juridiction

Sur les parties

Juge-rapporteur :	Gavalec
Avocat général :	Medina

Texte intégral

ARRÊT DE LA COUR (troisième chambre)

28 novembre 2024 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel et libre circulation de ces données – Règlement (UE) 2016/679 – Données traitées lors de l’établissement d’un certificat COVID-19 – Données n’ayant pas été collectées auprès de la personne concernée – Informations à fournir – Exception à l’obligation d’information – Article 14, paragraphe 5, sous c) – Données générées par le responsable du traitement dans le cadre de son propre processus – Droit de réclamation – Compétence de l’autorité de contrôle – Article 77, paragraphe 1 – Mesures appropriées visant à protéger les intérêts légitimes de la personne concernée prévues par le droit de l’État membre auquel le responsable du traitement est soumis – Mesures visant la sécurité du traitement des données – Article 32 »

Dans l’affaire C-169/23 [Másdi] ( i ),

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Kúria (Cour suprême, Hongrie), par décision du 8 février 2023, parvenue à la Cour le 17 mars 2023, dans la procédure

Nemzeti Adatvédelmi és Információszabadság Hatóság

contre

UC,

LA COUR (troisième chambre),

composée de Mme K. Jürimäe, présidente de la deuxième chambre, faisant fonction de président de la troisième chambre, M. K. Lenaerts, président de la Cour, faisant fonction de juge de la troisième chambre, MM. N. Jääskinen, M. Gavalec (rapporteur) et N. Piçarra, juges,

avocat général : Mme L. Medina,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–	pour la Nemzeti Adatvédelmi és Információszabadság Hatóság, par Me G. J. Dudás, ügyvéd,

–	pour UC, par Mes D. Karsai et V. Łuszcz, ügyvédek,

–	pour le gouvernement hongrois, par Mme Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,

–	pour le gouvernement tchèque, par Mme L. Březinová, MM. M. Smolek et J. Vláčil, en qualité d’agents,

–	pour la Commission européenne, par MM. A. Bouchagiar, C. Kovács et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocate générale en ses conclusions à l’audience du 6 juin 2024,

rend le présent

Arrêt

La demande de décision préjudicielle porte sur l’interprétation de l’article 14, paragraphes 1 et 5, sous c), de l’article 32 ainsi que de l’article 77, paragraphe 1, du règlement (UE) 2016/679du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

Cette demande a été présentée dans le cadre d’un litige opposant la Nemzeti Adatvédelmi és Információszabadság Hatóság (autorité nationale de la protection des données et la liberté de l’information, Hongrie) (ci-après l’« autorité nationale ») à UC au sujet de l’existence d’une obligation d’information concernant le traitement des données à caractère personnel dans le chef du Budapest Főváros Kormányhivatala (bureau gouvernemental de Budapest-Capitale, Hongrie) (ci-après l’« administration de délivrance »), chargé de délivrer des certificats d’immunité aux personnes vaccinées contre la COVID-19 ou ayant contracté cette maladie.

Le cadre juridique

Le droit de l’Union

Le RGPD

Aux termes des considérants 1, 10 et 61 à 63 du RGPD :

« (1)

La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la Charte des droits fondamentaux de l’Union européenne […] et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[…]

(10)

Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. […]

[…]

(61)

Les informations sur le traitement des données à caractère personnel relatives à la personne concernée devraient lui être fournies au moment où ces données sont collectées auprès d’elle ou, si les données à caractère personnel sont obtenues d’une autre source, dans un délai raisonnable en fonction des circonstances propres à chaque cas. Lorsque des données à caractère personnel peuvent être légitimement communiquées à un autre destinataire, il convient que la personne concernée soit informée du moment auquel ces données à caractère personnel sont communiquées pour la première fois audit destinataire. Lorsqu’il a l’intention de traiter les données à caractère personnel à des fins autres que celles pour lesquelles elles ont été collectées, le responsable du traitement devrait, avant de procéder à ce traitement ultérieur, fournir à la personne concernée des informations au sujet de cette autre finalité et toute autre information nécessaire. Lorsque l’origine des données à caractère personnel n’a pas pu être communiquée à la personne concernée parce que plusieurs sources ont été utilisées, des informations générales devraient être fournies.

(62)

Toutefois, il n’est pas nécessaire d’imposer l’obligation de fournir des informations lorsque la personne concernée dispose déjà de ces informations, lorsque l’enregistrement ou la communication des données à caractère personnel est expressément prévu par la loi ou lorsque la communication d’informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés. […]

(63)	Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. […] »

4	L’article 1er de ce règlement, intitulé « Objet et objectifs », dispose, à son paragraphe 2 : « Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

L’article 4 dudit règlement, intitulé « Définitions », énonce :

« Aux fins du présent règlement, on entend par :

1)	“données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée “personne concernée”) ; […]

“traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[…]

7)	“responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; […]

[…] »

L’article 6 du RGPD, intitulé « Licéité du traitement », prévoit, à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[…]

c)	le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[…]

e)	le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

[…] »

L’article 9 de ce règlement, intitulé « Traitement portant sur des catégories particulières de données à caractère personnel », dispose, à ses paragraphes 1 et 2 :

« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

[…]

le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ;

[…] »

8	Le chapitre III du RGPD, intitulé « Droits de la personne concernée », comporte plusieurs sections, parmi lesquelles la section 2 de celui-ci, intitulée « Information et accès aux données à caractère personnel ».

Dans cette section 2, figurent l’article 13, relatif aux « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », l’article 14, relatif aux « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », et l’article 15, relatif au « Droit d’accès de la personne concernée », du RGPD.

Aux termes de l’article 14 de ce règlement :

« 1. Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

a)	l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;

b)	le cas échéant, les coordonnées du délégué à la protection des données ;

c)	les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;

d)	les catégories de données à caractère personnel concernées ;

e)	le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

f)	le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale, […]

2. En plus des informations visées au paragraphe 1, le responsable du traitement fournit à la personne concernée les informations suivantes nécessaires pour garantir un traitement équitable et transparent à l’égard de la personne concernée :

a)	la durée pendant laquelle les données à caractère personnel seront conservées ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

b)	lorsque le traitement est fondé sur l’article 6, paragraphe 1, point f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;

l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectification ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ainsi que du droit de s’opposer au traitement et du droit à la portabilité des données ;

d)	lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer le consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;

e)	le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

f)	la source d’où proviennent les données à caractère personnel et, le cas échéant, une mention indiquant qu’elles sont issues ou non de sources accessibles au public ;

g)	l’existence d’une prise de décision automatisée, […]

[…]

4. Lorsqu’il a l’intention d’effectuer un traitement ultérieur des données à caractère personnel pour une finalité autre que celle pour laquelle les données à caractère personnel ont été obtenues, le responsable du traitement fournit au préalable à la personne concernée des informations au sujet de cette autre finalité et toute autre information pertinente visée au paragraphe 2.

5. Les paragraphes 1 à 4 ne s’appliquent pas lorsque et dans la mesure où :

a)	la personne concernée dispose déjà de ces informations ;

la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques sous réserve des conditions et garanties visées à l’article 89, paragraphe 1, ou dans la mesure où l’obligation visée au paragraphe 1 du présent article est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement. En pareils cas, le responsable du traitement prend des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles ;

c)	l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ; ou

d)	les données à caractère personnel doivent rester confidentielles en vertu d’une obligation de secret professionnel réglementée par le droit de l’Union ou le droit des États membres, y compris une obligation légale de secret professionnel. »

L’article 32 dudit règlement, intitulé « Sécurité du traitement », est libellé comme suit :

« 1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :

a)	la pseudonymisation et le chiffrement des données à caractère personnel ;

b)	des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

c)	des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ;

d)	une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2. Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

3. L’application d’un code de conduite approuvé comme le prévoit l’article 40 ou d’un mécanisme de certification approuvé comme le prévoit l’article 42 peut servir d’élément pour démontrer le respect des exigences prévues au paragraphe 1 du présent article.

4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l’autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, à moins d’y être obligée par le droit de l’Union ou le droit d’un État membre. »

12	L’article 55 du même règlement, intitulé « Compétence », dispose, à son paragraphe 1 : « Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève. »

L’article 57 du RGPD, intitulé « Missions », prévoit, à son paragraphe 1 :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

a)	contrôle l’application du présent règlement et veille au respect de celui-ci ;

[…]

c)	conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement ;

[…] »

L’article 58 de ce règlement, intitulé « Pouvoirs », dispose, à son paragraphe 3 :

« Chaque autorité de contrôle dispose de tous les pouvoirs d’autorisation et de tous les pouvoirs consultatifs suivants :

[…]

émettre, de sa propre initiative ou sur demande, des avis à l’attention du parlement national, du gouvernement de l’État membre ou, conformément au droit de l’État membre, d’autres institutions et organismes ainsi que du public, sur toute question relative à la protection des données à caractère personnel ;

[…] »

L’article 77 dudit règlement, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle », prévoit, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », est libellé comme suit :

« 1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.

2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.

3. Toute action contre une autorité de contrôle est intentée devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie.

4. Dans le cas d’une action intentée contre une décision d’une autorité de contrôle qui a été précédée d’un avis ou d’une décision du comité dans le cadre du mécanisme de contrôle de la cohérence, l’autorité de contrôle transmet l’avis ou la décision en question à la juridiction concernée. »

Le règlement (UE) 2021/953

L’article 10 du règlement (UE) 2021/953 du Parlement européen et du Conseil, du 14 juin 2021, relatif à un cadre pour la délivrance, la vérification et l’acceptation de certificats COVID-19 interopérables de vaccination, de test et de rétablissement (certificat COVID numérique de l’UE) afin de faciliter la libre circulation pendant la pandémie de COVID-19 (JO 2021, L 211, p. 1), intitulé « Protection des données à caractère personnel », prévoyait, à son paragraphe 1 :

« Le [RGPD] s’applique au traitement de données à caractère personnel effectué dans le cadre de la mise en œuvre du présent règlement. »

Le droit hongrois

Aux termes de l’article 2, paragraphe 1, de l’a koronavírus elleni védettségi igazolásról szóló 60/2021. (II.12.) Korm. rendelet [décret gouvernemental no 60/2021 (II.12.), relatif au certificat d’immunité contre le coronavirus], du 12 février 2021, dans sa version applicable au litige au principal (ci-après le « décret no 60/2021 ») :

« Le certificat d’immunité inclut :

a)	le nom de la personne concernée,

b)	le numéro du passeport de la personne concernée, le cas échéant,

c)	le numéro de la carte d’identité permanente de la personne concernée, le cas échéant,

d)	le numéro de série du certificat d’immunité,

e)	en cas de preuve de vaccination, la date de la vaccination,

f)	en cas de preuve de guérison d’une infection, la date d’expiration de la validité du certificat,

g)	un code formé à partir des données visées sous a) à f), lisible optiquement par un dispositif informatique,

les mentions suivantes :

ha)	“La présente carte est valable sur présentation d’une carte d’identité ou d’un passeport”

hb)	“Incessible”

hc)	“Les droits liés à la carte peuvent être vérifiés sur le site Internet koronavirus.gov.hu”. »

19	Conformément à l’article 2, paragraphes 6 et 7, du décret no 60/2021, le certificat d’immunité est délivré, à toute personne physique habilitée à le recevoir, par l’administration de délivrance soit d’office, soit sur demande.

L’article 3, paragraphe 3, de ce décret dispose :

« Par transmission automatique d’informations, le cas échéant par le biais des services du répertoire électronique combiné des données d’identification, l’administration de délivrance – dans le cas visé à l’article 2, paragraphe 6, sous c) et d) – reprend :

auprès de l’exploitant de la plateforme EESZT [Elektronikus Egészségügyi Szolgáltatási Tér (plateforme électronique des services de santé)], le numéro de sécurité sociale de la personne concernée, les données visées à l’article 2, paragraphe 1, sous e) et g), ainsi que les données visées au paragraphe 1,

b)	auprès de l’organisme qui tient le registre des données à caractère personnel et des adresses, le nom de la personne concernée, le numéro ou identifiant de son passeport et de sa carte d’identité permanente, ainsi que son adresse. »

Le litige au principal et les questions préjudicielles

21	UC, une personne physique, s’est vu délivrer par l’administration de délivrance un certificat d’immunité attestant sa vaccination contre la COVID-19, en application du décret no 60/2021.

Le 30 avril 2021, UC a engagé une procédure administrative relative au traitement des données à caractère personnel le concernant, en introduisant, auprès de l’autorité nationale, une réclamation sur la base de l’article 77, paragraphe 1, du RGPD, afin qu’il soit ordonné à l’administration de délivrance de mettre ses opérations de traitement en conformité avec les dispositions du RGPD. Dans sa réclamation, il a, notamment, reproché à l’administration de délivrance de ne pas avoir rédigé et publié de déclaration relative à la protection des données à caractère personnel afférentes à la délivrance des certificats d’immunité et fait valoir qu’il n’y avait pas d’informations sur la finalité et la base juridique du traitement de ces données ni sur les droits de la personne concernée et la manière dont ils peuvent être exercés.

Dans le cadre de la procédure engagée sur la base de cette réclamation, l’administration de délivrance a déclaré qu’elle exécutait ses tâches liées à la délivrance du certificat d’immunité sur le fondement de l’article 2 du décret no 60/2021, le traitement des données à caractère personnel ayant pour fondement juridique l’article 6, paragraphe 1, sous e), du RGPD et l’article 9, paragraphe 2, sous i), de ce règlement, pour ce qui concerne le traitement des données à caractère personnel relevant de catégories particulières.

En outre, l’administration de délivrance a indiqué qu’elle obtenait les données à caractère personnel qu’elle traitait auprès d’un autre organisme, conformément aux dispositions du décret no 60/2021. Sur cette base, elle a affirmé que, en vertu de l’article 14, paragraphe 5, sous c), du RGPD, elle n’était pas tenue de fournir des informations sur le traitement de ces données. Elle a néanmoins rédigé et publié sur son site Internet la déclaration de protection des données à caractère personnel demandée.

Par décision du 15 novembre 2021, l’autorité nationale a rejeté la demande de UC et conclu à l’absence d’obligation d’information de l’administration de délivrance, au motif que le traitement de données à caractère personnel concerné relevait de l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD.

En particulier, cette autorité a considéré que le décret no 60/2021 constituait le fondement juridique du traitement et que celui-ci imposait expressément à l’administration de délivrance de collecter les données en cause. Selon ladite autorité, la publication des informations sur le traitement des données à caractère personnel par l’administration de délivrance, sur son site Internet, était constitutive d’une bonne pratique et non d’une obligation légale.

En outre, l’autorité nationale a examiné d’office s’il existait des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée, au sens de l’article 14, paragraphe 5, sous c), second membre de phrase, du RGPD, et a estimé que devaient être considérées comme telles les dispositions des articles 2, 3 et 5 à 7 du décret no 60/2021.

28	UC a introduit un recours administratif contre cette décision devant la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), qui a annulé ladite décision et a ordonné à cette autorité d’engager une nouvelle procédure.

Dans son arrêt, cette juridiction a considéré que l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD n’était pas applicable, car certaines données à caractère personnel produites en lien avec les certificats d’immunité n’étaient pas obtenues par le responsable du traitement auprès d’un autre organisme, mais étaient générées par ce responsable lui-même, dans le cadre de l’exercice de ses missions. Tel était le cas, selon ladite juridiction, du numéro de série du certificat d’immunité, de la date d’expiration du certificat délivré à une personne qui a contracté la maladie, du code QR figurant sur la carte, du code-barres et des autres codes alphanumériques figurant sur la lettre de remise du certificat ainsi que des données à caractère personnel générées par le processus de gestion des dossiers du responsable du traitement. De l’avis de la même juridiction, seules les données à caractère personnel obtenues auprès d’un autre organisme étaient susceptibles de relever de l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD.

30	L’autorité nationale a saisi la Kúria (Cour suprême, Hongrie), qui est la juridiction de renvoi, d’un recours extraordinaire contre cet arrêt.

C’est dans ce contexte que cette juridiction s’interroge, tout d’abord, sur le point de savoir si l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD est susceptible de s’appliquer à tous les traitements de données à caractère personnel à l’exclusion de ceux qui portent sur des données à caractère personnel collectées auprès de la personne concernée.

Dans l’affirmative, ladite juridiction se demande si, dans le cadre d’une procédure de réclamation au titre de l’article 77, paragraphe 1, du RGPD, l’autorité de contrôle est compétente pour vérifier, en vue de se prononcer sur l’applicabilité de cette exception, si le droit national du responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée.

Dans l’affirmative, la juridiction de renvoi souhaite savoir, enfin, si cette vérification porte également sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 du RGPD, afin de garantir la sécurité des traitements de données à caractère personnel.

Dans ces conditions, la Kúria (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)

L’article 14, paragraphe 5, sous c), du [RGPD] doit-il être interprété – compte tenu de l’article 14, paragraphe 1, et du considérant 62 du RGPD – en ce sens que l’exception que cette disposition prévoit ne s’applique pas aux données générées par le responsable du traitement dans le cadre de son propre processus, mais uniquement aux données que le responsable du traitement a spécifiquement collectées auprès d’une autre personne ?

Si l’article 14, paragraphe 5, sous c), du RGPD s’applique également aux données générées par le responsable du traitement dans le cadre de son propre processus, l’article 77, paragraphe 1, du RGPD, qui régit le droit d’introduire une réclamation auprès d’une autorité de contrôle, doit-il être interprété en ce sens qu’une personne physique invoquant une violation de l’obligation d’information peut, dans le cadre de l’exercice de son droit d’introduire une réclamation, également demander que soit examinée la question de savoir si le droit de l’État membre, visé à l’article 14, paragraphe 5, sous c), du RGPD, prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée ?

En cas de réponse affirmative à la deuxième question, l’article 14, paragraphe 5, sous c), du RGPD peut-il être interprété en ce sens que les “mesures appropriées” auxquelles celui-ci fait référence exigent une transposition (dans la règle de droit), par le législateur national, des mesures de sécurité des données visées à l’article 32 du RGPD ? »

Le 16 janvier 2024, la Cour a invité les parties et intéressés visés à l’article 23 du statut de la Cour de justice de l’Union européenne à répondre à certaines questions par écrit, en application de l’article 61 du règlement de procédure de la Cour. Les parties requérante et défenderesse au principal, les gouvernements hongrois et tchèque ainsi que la Commission européenne ont répondu à ces questions.

Sur les questions préjudicielles

Sur la première question

Par sa première question, la juridiction de renvoi demande, en substance, si l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne uniquement les données à caractère personnel que le responsable du traitement a collectées auprès d’une personne autre que la personne concernée ou si elle concerne également les données à caractère personnel que ce responsable a générées lui-même, dans le cadre de l’exercice de ses missions.

L’article 14, paragraphes 1, 2 et 4, de ce règlement détermine les informations que le responsable du traitement est obligé de fournir à la personne concernée, au sens de l’article 4, point 1, dudit règlement, lorsque les données à caractère personnel n’ont pas été collectées auprès de cette personne.

L’article 14, paragraphe 5, du même règlement énonce des exceptions à cette obligation. Parmi ces exceptions, le point c) de ce paragraphe 5 prévoit que ladite obligation ne s’applique pas lorsque et dans la mesure où l’obtention ou la communication des informations sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et qui prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

Afin de déterminer si cette exception couvre les données à caractère personnel générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions, à partir de données obtenues auprès d’une personne autre que la personne concernée, il y a lieu, en application d’une jurisprudence constante, de tenir compte non seulement des termes de la disposition qui la prévoit, mais également du contexte de cette disposition et des objectifs poursuivis par la réglementation dont elle fait partie (voir, en ce sens, arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság, C-132/21, EU:C:2023:2, point 32 et jurisprudence citée).

40	En premier lieu, il convient de déterminer, au vu du libellé de l’article 14, paragraphe 5, sous c), du RGPD, l’objet de « l’obtention ou la communication » visé à cette disposition.

Il existe, en effet, premièrement, une divergence entre les différentes versions linguistiques de ladite disposition. La version en langue française de la même disposition fait référence à l’obtention ou à la communication des « informations », alors que, tout d’abord, les versions en langues hongroise (« adat »), estonienne (« isikuandmed »), croate (« podataka »), lituanienne (« duomenų »), néerlandaise (« gegevens »), portugaise (« dados ») roumaine (« datelor ») ainsi que suédoise (« uppgifter ») font référence à l’obtention ou à la communication des « données », ensuite, la version en langue finnoise contient un terme (« tietojen ») susceptible de viser à la fois des « données » ou des « informations » et, enfin, les versions en langues bulgare, espagnole, tchèque, danoise, allemande, grecque, anglaise, italienne, lettonne, maltaise, polonaise, slovaque et slovène ne mentionnent pas l’objet de l’obtention ou de la communication.

Or, conformément à une jurisprudence également constante, la formulation utilisée dans l’une des versions linguistiques d’une disposition du droit de l’Union ne saurait servir de base unique à l’interprétation de cette disposition ou se voir attribuer un caractère prioritaire par rapport aux autres versions linguistiques. Les dispositions du droit de l’Union doivent en effet être interprétées et appliquées de manière uniforme, à la lumière des versions établies dans toutes les langues de l’Union. En cas de disparités entre les diverses versions linguistiques d’un texte du droit de l’Union, la disposition en cause doit être interprétée en fonction de l’économie générale et de la finalité de la réglementation dont elle constitue un élément (arrêt du 21 mars 2024, Cobult, C-76/23, EU:C:2024:253, point 25 et jurisprudence citée).

S’agissant de l’économie générale du RGPD, il convient de lire l’article 14, paragraphe 5, de ce règlement à la lumière des considérants 61 et 62 de celui-ci, qui font référence, d’une part, aux « données à caractère personnel […] obtenues [et les] données à caractère personnel […] communiquées » ainsi qu’à « l’enregistrement ou la communication des données à caractère personnel […] expressément prévu par la loi » et, d’autre part, aux « informations […] fournies » ou « à fournir ». L’interprétation selon laquelle « l’obtention ou la communication », au sens de l’article 14, paragraphe 5, sous c), du RGPD, visent des données à caractère personnel est en outre confirmée par la portée large de la notion de « traitement », au sens de l’article 4, point 2, du RGPD, qui couvre toute opération appliquée à des données à caractère personnel [voir, en ce sens, arrêt du 5 octobre 2023, Ministerstvo zdravotnictví (Application mobile Covid-19), C-659/22, EU:C:2023:745, point 27 et jurisprudence citée].

S’agissant de la finalité de la réglementation dont l’article 14, paragraphe 5, sous c), du RGPD fait partie, il suffit d’observer, à l’instar de Mme l’avocate générale au point 31 de ses conclusions, que la ratio legis de cette exception réside dans le fait que l’obligation d’information de la personne concernée imposée par l’article 14, paragraphes 1, 2 et 4, de ce règlement ne se justifie pas lorsqu’une autre disposition du droit de l’Union ou du droit d’un État membre impose, de manière suffisamment complète et contraignante, au responsable du traitement de fournir, à cette personne, des informations relatives à l’obtention ou à la communication des données à caractère personnel. En effet, dans l’hypothèse relevant de cet article 14, paragraphe 5, sous c), les personnes concernées doivent avoir une connaissance suffisante des modalités et finalités de l’obtention ou de la communication de ces données.

45	En conséquence, il y a lieu de considérer, au regard du libellé de l’article 14, paragraphe 5, sous c), du RGPD dans l’ensemble de ses versions linguistiques, que cette disposition doit être comprise comme se référant à l’obtention ou à la communication des données à caractère personnel.

Deuxièmement, il convient de constater que le libellé de l’article 14, paragraphe 5, sous c), du RGPD ne limite pas l’exception qu’il prévoit aux seules données à caractère personnel obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée, pas plus qu’il n’exclut les données qui ont été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions, à partir de telles données.

Il s’ensuit que les données à caractère personnel qui ont fait l’objet d’une « obtention », au sens de ladite disposition, par le responsable du traitement sont toutes celles que ce dernier collecte auprès d’une personne autre que la personne concernée et celles qu’il a lui-même générées, dans le cadre de l’exercice de sa mission, à partir de données obtenues auprès d’une personne autre que la personne concernée.

En deuxième lieu, il convient d’observer que le champ d’application matériel de l’article 14 du RGPD est défini de manière négative par rapport à l’article 13 de ce règlement. Ainsi qu’il ressort des intitulés même de ces dispositions, cet article 13 porte sur les informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée, tandis que cet article 14 concerne celles qui doivent l’être lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée. Compte tenu de cette dichotomie, tous les cas dans lesquels les données ne sont pas collectées auprès de la personne concernée relèvent du champ d’application matériel dudit article 14.

Partant, il découle de l’interprétation combinée des articles 13 et 14 du RGPD que tant les données à caractère personnel obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée que les données générées par le responsable du traitement lui-même, qui, par nature, n’ont pas non plus été obtenues auprès de la personne concernée, relèvent du champ d’application de cet article 14. Il en résulte que l’exception établie audit article 14, paragraphe 5, sous c), couvre ces deux catégories de données.

En troisième lieu, il convient d’interpréter l’article 14, paragraphe 5, sous c), du RGPD dans un sens conforme à l’objectif poursuivi par ce règlement, qui consiste notamment, ainsi qu’il ressort de son article 1er, lu à la lumière de ses considérants 1 et 10, à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, en particulier de leur droit à la vie privée à l’égard du traitement des données à caractère personnel, consacré à l’article 8, paragraphe 1, de la charte des droits fondamentaux et à l’article 16, paragraphe 1, TFUE (voir, en ce sens, arrêt du 7 mars 2024, IAB Europe, C-604/22, EU:C:2024:214, point 53 et jurisprudence citée).

À cet égard, il ressort du considérant 63 du RGPD que le législateur de l’Union a voulu qu’une personne concernée, au sens de ce règlement, dispose du droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet afin de prendre connaissance du traitement qui en est fait et d’en vérifier la licéité.

52	Ainsi, le responsable du traitement peut être dispensé de son obligation d’information qui lui incombe normalement envers une personne concernée à condition que cette personne soit en mesure d’exercer un contrôle sur ses données à caractère personnel et d’exercer les droits que lui confère le RGPD.

Conformément à l’objectif poursuivi par ce règlement, l’exception à l’obligation d’information de la personne concernée, prévue à l’article 14, paragraphe 5, sous c), du RGPD, requiert, d’une part, que l’obtention ou la communication des données à caractère personnel par le responsable du traitement soient expressément prévues par le droit de l’Union ou par le droit de l’État membre auquel ce responsable du traitement est soumis. D’autre part, ce droit doit prévoir des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

Il en découle que, pour être pleinement conforme à l’objectif poursuivi par le RGPD, l’application de l’article 14, paragraphe 5, sous c), de ce règlement est soumise au respect scrupuleux des conditions que cette disposition prévoit, à savoir, notamment, à l’existence d’un niveau de protection de la personne concernée qui soit au moins équivalent à celui garanti par l’article 14, paragraphes 1 à 4, dudit règlement.

Compte tenu des motifs qui précèdent, il y a lieu de répondre à la première question que l’article 14, paragraphe 5, sous c), du RGPD doit être interprété en ce sens que l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions.

Sur les deuxième et troisième questions

Par ses deuxième et troisième questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande, en substance, si l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c), et, dans l’affirmative, si cette vérification porte également sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

En premier lieu, il convient de rappeler que, en vertu de l’article 77, paragraphe 1, du RGPD, sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle si elle considère que le traitement de données à caractère personnel la concernant constitue une violation de ce règlement.

En ce qui concerne la compétence des autorités de contrôle, l’article 55, paragraphe 1, dudit règlement prévoit que chaque autorité de contrôle est compétente, sur le territoire de l’État membre dont elle relève, pour exercer les missions et les pouvoirs dont elle est investie en vertu du même règlement.

59	S’agissant de ces missions, l’article 57, paragraphe 1, sous a), du RGPD dispose que chaque autorité de contrôle, sur son territoire, contrôle l’application de ce règlement et veille au respect de celui-ci.

60	Le RGPD ne comporte aucune disposition de nature à soustraire certains aspects de l’application de l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement à la compétence de ces autorités de contrôle.

En vertu de cette disposition, le responsable du traitement est dispensé de fournir à la personne concernée les informations visées à l’article 14, paragraphes 1, 2 et 4, du RGPD lorsque, et dans la mesure où, d’une part, l’obtention ou la communication des données à caractère personnel sont expressément prévues par le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement est soumis et, d’autre part, ce droit prévoit des mesures appropriées visant à protéger les intérêts légitimes de la personne concernée.

Dès lors, une réclamation au titre de l’article 77, paragraphe 1, du RGPD peut être fondée sur une violation de l’obligation d’information par le responsable du traitement, tirée du non-respect des conditions d’application de l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement.

S’agissant de la première condition, rappelée au point 61 du présent arrêt, l’autorité de contrôle saisie d’une telle réclamation peut être amenée à vérifier si le droit de l’Union ou le droit national prévoit que le responsable du traitement doit obtenir ou communiquer des données à caractère personnel.

S’agissant de la seconde condition, il y a lieu de constater, à l’instar de Mme l’avocate générale aux points 67 et 69 de ses conclusions, que la portée de l’expression « mesures appropriées visant à protéger les intérêts légitimes de la personne concernée » n’est pas précisée dans le RGPD. Cela étant, les dispositions du droit de l’Union ou du droit de l’État membre qui prévoient de telles mesures et auxquelles le responsable du traitement est soumis doivent garantir, comme relevé au point 54 du présent arrêt, un niveau de protection de la personne concernée au regard du traitement de ses données à caractère personnel qui soit au moins équivalent à celui qui est prévu à l’article 14, paragraphes 1 à 4, de ce règlement. Ainsi, ces dispositions doivent être de nature à mettre la personne concernée en mesure d’exercer un contrôle sur ses données à caractère personnel et d’exercer les droits que lui confère le RGPD.

65	À cet effet, il importe notamment que lesdites dispositions indiquent, de manière claire et prévisible, la source à partir de laquelle la personne concernée obtiendra des informations sur le traitement des données à caractère personnel qui la concernent.

Dans le contexte de la transmission des données à caractère personnel entre organismes d’un État membre et de la génération de telles données par un responsable du traitement à partir des données collectées auprès d’une personne autre que la personne concernée, il convient de relever, que, en cas de réclamation par cette dernière, il appartiendra à l’autorité de contrôle de vérifier, notamment, si le droit national ou le droit de l’Union pertinent définit avec suffisamment de précision les différents types de données à caractère personnel à obtenir ou à communiquer, ainsi que les données à caractère personnel qu’il est amené à générer dans le cadre de l’exercice de ses missions et si ce droit prévoit de quelle manière la personne concernée a effectivement accès aux informations visées à l’article 14, paragraphes 1, 2 et 4, du RGPD.

Ainsi que le souligne la Commission dans ses observations écrites, la vérification, par une autorité de contrôle, de la question de savoir si toutes les conditions d’application de l’exception prévue à l’article 14, paragraphe 5, sous c), du RGPD sont remplies ne relève pas pour autant d’un examen de la validité des dispositions pertinentes du droit national. Cette autorité se prononce uniquement sur le point de savoir si, dans un cas donné, le responsable du traitement est ou non en droit d’invoquer l’exception prévue à cette disposition à l’égard de la personne concernée.

S’agissant de l’issue d’une telle vérification, il convient de rappeler que, en vertu de l’article 78 de ce règlement, lorsque, dans un cas donné, l’autorité de contrôle décide que la réclamation de la personne concernée n’est pas fondée, cette dernière doit disposer, dans son État membre, d’un droit à un recours juridictionnel effectif contre cette décision de rejet.

En revanche, lorsque cette autorité considère que la réclamation est fondée et que les conditions de l’application de l’exception prévue à l’article 14, paragraphe 5, sous c), dudit règlement ne sont pas remplies, elle enjoint au responsable du traitement de fournir les informations, conformément à l’article 14, paragraphes 1, 2 et 4, du même règlement, à la personne concernée.

En second lieu, s’agissant de savoir si cette vérification doit porter également sur le caractère approprié, au regard de l’article 32 du RGPD, des mesures que le responsable du traitement est tenu de mettre en œuvre pour assurer la sécurité du traitement, il y a lieu de souligner que l’article 14, paragraphe 5, sous c), de ce règlement établit une exception uniquement à l’obligation d’information prévue à l’article 14, paragraphes 1, 2 et 4, dudit règlement, sans prévoir une dérogation aux obligations contenues dans d’autres dispositions du même règlement, parmi lesquelles l’article 32 de celui-ci.

Cet article 32 oblige le responsable du traitement et son éventuel sous-traitant à mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité du traitement des données à caractère personnel qui soit adéquat. Le caractère approprié de telles mesures doit être évalué de manière concrète, en tenant compte des risques liés au traitement concerné et en appréciant si la nature, la teneur et la mise en œuvre de ces mesures sont adaptées à ces risques (voir, en ce sens, arrêts du 14 décembre 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, points 42, 46 et 47, ainsi que du 25 janvier 2024, MediaMarktSaturn, C-687/21, EU:C:2024:72, points 37 et 38).

Au vu des termes respectifs de ces deux dispositions, il convient de relever que les obligations consacrées à l’article 32 du RGPD, qui doivent être respectées en toute hypothèse et indépendamment de l’existence ou non d’une obligation d’information en vertu de l’article 14 de ce règlement, sont de nature et de portée différentes par rapport à l’obligation d’information prévue à cet article 14.

Ainsi, en cas de réclamation au titre de l’article 77, paragraphe 1, du RGPD, au motif que le responsable du traitement a invoqué, à tort, l’exception prévue à l’article 14, paragraphe 5, sous c), de ce règlement, l’objet des vérifications à effectuer par l’autorité de contrôle est circonscrit par le champ d’application du seul article 14 dudit règlement, le respect de l’article 32 de celui-ci ne faisant pas partie de ces vérifications.

Compte tenu des motifs qui précèdent, il y a lieu de répondre aux deuxième et troisième questions que l’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du RGPD doivent être interprétés en ce sens que, dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c). Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

Sur les dépens

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (troisième chambre) dit pour droit :

L’article 14, paragraphe 5, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

l’exception à l’obligation d’information de la personne concernée par le responsable du traitement, prévue à cette disposition, concerne indistinctement toutes les données à caractère personnel que le responsable du traitement n’a pas collectées directement auprès de la personne concernée, que ces données aient été obtenues par le responsable du traitement auprès d’une personne autre que la personne concernée ou qu’elles aient été générées par le responsable du traitement lui-même, dans le cadre de l’exercice de ses missions.

L’article 14, paragraphe 5, sous c), et l’article 77, paragraphe 1, du règlement 2016/679

doivent être interprétés en ce sens que :

dans le cadre d’une procédure de réclamation, l’autorité de contrôle est compétente pour vérifier si le droit de l’État membre auquel est soumis le responsable du traitement prévoit des mesures appropriées pour protéger les intérêts légitimes de la personne concernée, aux fins de l’application de l’exception prévue à cet article 14, paragraphe 5, sous c). Cette vérification ne porte toutefois pas sur le caractère approprié des mesures que le responsable du traitement est tenu de mettre en œuvre, en vertu de l’article 32 de ce règlement, afin de garantir la sécurité des traitements de données à caractère personnel.

Signatures

( *1 ) Langue de procédure : le hongrois.

( i ) Le nom de la présente affaire est un nom fictif. Il ne correspond au nom réel d’aucune partie à la procédure.