Affaires jointes C-313/23, C-316/23 et C-332/23

Inspektorat kam Visshia sadeben savet

(demande de décision préjudicielle, introduite par le Sofiyski rayonen sad)

Arrêt de la Cour (première chambre) du 30 avril 2025

« Renvoi préjudiciel – État de droit – Indépendance des juges – Article 19, paragraphe 1, second alinéa, TUE – Protection juridictionnelle effective dans les domaines couverts par le droit de l’Union – Organe judiciaire compétent pour proposer l’ouverture de procédures disciplinaires contre les magistrats en vue de l’infliction de sanctions disciplinaires – Maintien des fonctions des membres de l’organe judiciaire après la fin de leur mandat – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Sécurité des données – Accès d’un organe judiciaire aux données relatives aux comptes bancaires des magistrats et des membres de leur famille – Autorisation juridictionnelle aux fins de la levée du secret bancaire – Juridiction autorisant la levée du secret bancaire – Article 4, point 7 – Notion de “responsable du traitement” – Article 51 – Notion d’“autorité de contrôle” »

1. Questions préjudicielles – Saisine de la Cour – Juridiction nationale au sens de l’article 267 TFUE – Notion – Détermination en vertu de critères structurels et fonctionnels – Juridiction saisie par un organe judiciaire d’une demande d’accès aux données relatives aux comptes bancaires des magistrats et des membres de leur famille – Autorisation juridictionnelle aux fins de la levée du secret bancaire – Juridiction exerçant des fonctions de nature juridictionnelle – Inclusion

   (Art. 19, § 1, 2d al., TUE ; art. 267 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 7 et 8)

   (voir points 59-63)

2. Questions préjudicielles – Compétence de la Cour – Limites – Obligation des États membres d’établir les voies de recours nécessaires pour assurer une protection juridictionnelle effective – Questions concernant des règles nationales relatives à l’organisation et au fonctionnement d’un organe judiciaire – Inclusion

   (Art. 19, § 1, 2d al., TUE ; art. 267 TFUE)

   (voir points 71-73)

3. États membres – Obligations – Établissement des voies de recours nécessaires pour assurer une protection juridictionnelle effective – Respect du principe de l’indépendance des juges – Maintien en fonction des membres d’un organe judiciaire compétent pour proposer l’ouverture de procédures disciplinaires contre les magistrats après la fin de leur mandat – Absence de base légale explicite ou de limitation dans le temps de cette prorogation – Inadmissibilité

   (Art. 2 et 19, § 1, 2d al., TUE ; charte des droits fondamentaux de l’Union européenne, art. 47)

   (voir points 81-97, disp. 1)

4. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Champ d’application – Dérogations – Traitement de données dans le cadre d’une activité ne relevant pas du droit de l’Union – Notion – Divulgation à un organe judiciaire de données à caractère personnel protégées par le secret bancaire et concernant des magistrats et des membres de leur famille – Divulgation dans le contexte de la vérification des déclarations relatives aux patrimoines – Exclusion

   [Règlement du Parlement européen et du Conseil 2016/679, art. 2, § 1, 2, a), et 3]

   (voir points 99-106, disp. 2)

5. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Notion de responsable du traitement – Juridiction compétente pour autoriser, sur demande d’un organe judiciaire, la divulgation par une banque à cet organe de données relatives aux comptes bancaires des magistrats ainsi que des membres de leur famille – Exclusion

   (Règlement du Parlement européen et du Conseil 2016/679, art. 4, point 7)

   (voir points 108-117, disp. 3)

6. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Autorités nationales de contrôle – Notion – Juridiction compétente pour autoriser, sur demande d’un organe judiciaire, la divulgation par une banque à cet organe de données relatives aux comptes bancaires des magistrats ainsi que des membres de leur famille – Exclusion

   [Art. 16 TFUE ; charte des droits fondamentaux de l’Union européenne, art. 8, § 3 ; règlement du Parlement européen et du Conseil 2016/679, art. 51, § 1, 2 et 4, 57, § 1, a) et g), et 58]

   (voir points 119-123, disp. 4)

7. Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement 2016/679 – Voies de recours – Juridiction compétente pour autoriser la divulgation des données à caractère personnel à un organe judiciaire – Juridiction saisie d’une demande d’accès à ces données introduite par cet organe et non d’un recours introduit contre un responsable de traitement – Obligation d’assurer d’office le respect des règles relatives à la sécurité des données – Absence – Violation par ledit organe dans le passé de ces règles – Absence d’incidence

   (Charte des droits fondamentaux de l’Union européenne, art. 47 ; règlement du Parlement européen et du Conseil 2016/679, art. 79, § 1)

   (voir points 128-138, disp. 5)

Résumé

Saisie à titre préjudiciel par le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie), la Cour juge que le principe d’indépendance des juges s’oppose à la pratique d’un État membre permettant aux membres d’un organe judiciaire compétent pour proposer l’ouverture de procédures disciplinaires contre les magistrats de rester en fonction au-delà de la durée légale de leur mandat en l’absence d’une base légale explicite ou d’une limitation dans le temps de cette prorogation. En outre, la Cour précise la portée des notions de « responsable du traitement » et d’« autorité de contrôle », prévues par le règlement général sur la protection des données ( 1 ), dans le contexte de la divulgation de données à caractère personnel protégées par le secret bancaire concernant des magistrats ainsi que les membres de leur famille, qui est autorisée par une juridiction nationale à la suite d’une demande de cet organe judiciaire.

En mai 2023, après l’expiration du délai prévu pour le dépôt des déclarations annuelles de patrimoine des magistrats et de leur famille au titre de l’année 2022, l’Inspektorat kam Visshia sadeben savet (Inspection près le Conseil supérieur de la magistrature, Bulgarie, ci-après l’« Inspection ») a saisi la juridiction de renvoi d’une demande de levée du secret bancaire portant sur les comptes bancaires de plusieurs magistrats et des membres de leur famille ( 2 ).

La juridiction de renvoi indique que l’Inspection a été créée en 2007, à la suite d’une modification de la constitution bulgare, et, en tant qu’organe judiciaire, est chargée d’enquêter sur l’exercice d’influences indues sur les magistrats, de vérifier les déclarations de patrimoine de ces derniers et de détecter d’éventuels conflits d’intérêts ainsi que des atteintes à l’indépendance du pouvoir judiciaire. Par ailleurs, elle précise que les mandats des membres de l’Inspection, élus par le parlement national pour une durée de quatre à cinq ans, seraient parvenus à leur terme au cours de l’année 2020, sans que de nouveaux membres soient élus. Cependant, en vertu d’une jurisprudence du Konstitutsionen sad (Cour constitutionnelle, Bulgarie), les membres de l’Inspection continuent à exercer leurs fonctions jusqu’à l’élection de nouveaux membres, la préservation de la mission dévolue à cet organe ayant été considérée plus importante que les risques d’abus de ses membres.

Dans ces circonstances, la juridiction de renvoi se demande si une prorogation des mandats des membres de l’Inspection est susceptible de porter atteinte aux garanties d’indépendance de cette autorité et, dans l’affirmative, quels sont les critères permettant d’apprécier si une telle prorogation est admissible et pour quelle durée.

De surcroît, la juridiction s’interroge sur le rôle et les obligations des juridictions nationales lorsque celles-ci doivent autoriser l’accès de l’Inspection aux données à caractère personnel des magistrats. Plus particulièrement, elle se demande si son activité consistant à autoriser l’Inspection à accéder à des données à caractère personnel soumises au secret bancaire relève du champ d’application du RGPD et, dans l’affirmative, quelles en seraient les incidences sur le contrôle qu’elle doit exercer. À cet égard, la juridiction de renvoi se demande si le contrôle qu’elle est amenée à opérer avant d’autoriser l’accès de l’Inspection aux données en cause devrait être purement formel et se limiter à vérifier si les personnes à propos desquelles la levée du secret bancaire est demandée ont les qualités de personnes soumises à l’obligation de déclaration, c’est-à-dire si elles sont des magistrats ou des personnes ayant une relation familiale ou une autre relation avec ces derniers ou si elle devrait plutôt assurer la sécurité des données en cause en vertu du RGPD.

Appréciation de la Cour

La Cour considère, en premier lieu, que l’article 19, paragraphe 1, second alinéa, TUE, lu à la lumière du droit à une protection juridictionnelle effective ( 3 ), et plus particulièrement le principe d’indépendance des juges, s’oppose à la pratique d’un État membre en vertu de laquelle les membres d’un organe judiciaire, élus par le parlement de celui-ci pour des mandats d’une durée déterminée et compétents pour contrôler l’activité des magistrats dans l’exercice de leurs fonctions, leur intégrité et leur absence de conflits d’intérêts ainsi que pour proposer à un autre organe judiciaire l’ouverture d’une procédure disciplinaire en vue de l’imposition de sanctions disciplinaires à leur égard, continuent à exercer leurs fonctions au-delà de la durée légale de leur mandat, fixée par la constitution de cet État membre, jusqu’à ce que ce parlement élise de nouveaux membres. Ce qui précède s’applique lorsque la prorogation des mandats échus ne repose pas sur une base légale explicite en droit national comportant des règles claires et précises de nature à encadrer l’exercice de ces fonctions et sans qu’il soit assuré que cette prorogation soit, en pratique, limitée dans le temps.

À cet égard, la Cour rappelle sa jurisprudence constante, selon laquelle, l’exigence d’indépendance des juridictions ( 4 ) impose que le régime disciplinaire des juges doit présenter les garanties nécessaires afin d’éviter qu’il soit utilisé en tant que système de contrôle politique du contenu des décisions judiciaires. À ce titre, l’édiction de règles qui définissent tant les comportements constitutifs d’infractions disciplinaires que les sanctions concrètement applicables, qui prévoient l’intervention d’une instance indépendante, conformément à une procédure garantissant pleinement le droit à un recours effectif et le droit à la défense ( 5 ) et qui consacrent la possibilité de contester en justice les décisions des organes disciplinaires constituent de telles garanties.

En effet, il est essentiel que de tels organes agissent, lors de l’exercice de leurs missions, de manière objective et impartiale et qu’ils soient, à cet effet, à l’abri de toute influence extérieure. Il en va en particulier ainsi d’un organe judiciaire qui, à l’instar de l’Inspection, dispose d’un large pouvoir de contrôler l’activité des magistrats dans l’exercice de leurs fonctions, leur intégrité et l’absence de conflits d’intérêts les concernant ainsi que de proposer, à la suite de tels contrôles, à un autre organe judiciaire (en l’espèce, le Conseil supérieur de la magistrature bulgare) l’ouverture d’une procédure disciplinaire visant à imposer des sanctions disciplinaires à leur égard. C’est pourquoi l’ensemble des règles régissant l’organisation et le fonctionnement d’un tel organe, dont celles gouvernant la procédure de nomination de ses membres, doivent être conçues de manière à ce qu’elles ne puissent faire naître, dans l’esprit des justiciables, aucun doute légitime quant à l’utilisation des prérogatives et des fonctions d’un tel organe comme instrument de pression sur l’activité judiciaire ou de contrôle politique de cette activité.

S’agissant des mandats des membres de l’Inspection, qui ont expiré sans que le parlement national ait procédé à l’élection des nouveaux membres, la Cour souligne que la réglementation nationale ne semble comporter aucune règle quant à une possible continuation de l’exercice de leurs fonctions au-delà de la durée de leur mandat. S’il est vrai que, en application de la jurisprudence de la Cour constitutionnelle, les membres de l’Inspection continuent à exercer leurs fonctions jusqu’à l’élection des nouveaux membres, il est tout aussi vrai que cette réglementation nationale ne comporte pas de règles de nature à encadrer l’exercice de ces fonctions ainsi prolongé ni de dispositif légal permettant de mettre fin à un éventuel blocage dans le processus de nomination des nouveaux membres de l’Inspection. Ainsi, la prorogation des mandats des anciens membres de l’Inspection apparaît, en pratique, comme étant susceptible de se prolonger sans limitation dans le temps.

Dans ce contexte, il appartient aux seuls États membres de décider s’ils autorisent ou non l’exercice des fonctions des membres d’un organe judiciaire, compétent pour contrôler l’activité des magistrats et pour proposer l’ouverture de procédures disciplinaires à leur égard, au-delà de la durée légale de leurs mandats afin d’assurer la continuité du fonctionnement de cet organe. Toutefois, lorsqu’ils optent pour une telle prorogation des mandats, ces États membres sont tenus de veiller à ce que l’exercice des fonctions après l’expiration du mandat repose sur une base légale explicite en droit interne, comportant des règles claires et précises de nature à encadrer cet exercice. Ils doivent également veiller à ce que les conditions et les modalités auxquelles se trouve soumis un tel exercice soient conçues de manière à permettre aux membres concernés d’un tel organe judiciaire d’agir, dans l’accomplissement de leurs missions, de manière objective et impartiale. Partant, si, dans certaines circonstances, la prorogation des mandats peut s’avérer nécessaire, eu égard à l’importance des fonctions exercées par l’organe judiciaire concerné, ce n’est qu’à titre exceptionnel et à la condition que cette prorogation soit encadrée par des règles claires et précises excluant, en pratique, la possibilité qu’elle soit illimitée dans le temps, que ladite prorogation peut être envisageable.

En deuxième lieu, la Cour constate que la divulgation, à un organe judiciaire, de données à caractère personnel qui sont protégées par le secret bancaire et qui concernent des magistrats ainsi que les membres de leur famille, en vue de la vérification des déclarations de ces magistrats relatives à leur patrimoine ainsi qu’à celui des membres de leur famille, ces déclarations faisant l’objet d’une publication, constitue un traitement de données à caractère personnel qui relève du champ d’application matériel du RGPD.

Pour parvenir à cette conclusion, la Cour note que si l’édiction de règles applicables au statut des magistrats et à l’exercice de leurs fonctions relève de la compétence des États membres, il n’en demeure pas moins qu’un traitement de données qui a pour objectif le contrôle de l’intégrité des magistrats ainsi que la vérification de l’existence d’éventuels conflits d’intérêts ne relève pas des exceptions au champ d’application matériel du RGPD ( 6 ), dans la mesure où il ne s’agit pas d’une activité qui vise à préserver la sécurité nationale ni d’une activité qui peut être rangée dans la même catégorie. En effet, la divulgation à un organe judiciaire de données à caractère personnel protégées par le secret bancaire et relatives à des magistrats ainsi qu’aux membres de leur famille constitue une mise à disposition de ces données à caractère personnel en faveur de cet organe.

En troisième lieu, la Cour se prononce sur l’interprétation des notions de « responsable du traitement » et d’« autorité de contrôle », au sens du RGPD ( 7 ).

En ce qui concerne la notion de « responsable du traitement », la Cour considère que ne relève pas de cette notion une juridiction compétente pour autoriser, sur demande d’un autre organe judiciaire, la divulgation par une banque à cet organe de données relatives aux comptes bancaires des magistrats ainsi qu’à ceux des membres de leur famille.

En vertu de la réglementation nationale, l’Inspection est compétente pour effectuer, notamment, des contrôles concernant l’intégrité et l’absence de conflits d’intérêts des magistrats ainsi que leurs déclarations de patrimoine. À cet effet, cette réglementation offre à l’Inspection, d’une part, la possibilité de solliciter l’accès aux données relatives aux comptes bancaires des magistrats ainsi qu’à ceux des membres de leur famille et, d’autre part, le pouvoir de demander une autorisation juridictionnelle préalable aux fins de l’accès à ces données, lorsque les personnes concernées n’ont pas donné leur consentement à un tel accès. La juridiction saisie d’une demande d’autorisation de divulgation n’intervient donc que sur demande de l’Inspection et se borne à vérifier si les conditions de légalité fixées par le droit national sont remplies. De même, c’est l’Inspection et non cette juridiction qui détermine, en fonction des règles nationales applicables, les personnes aux données desquelles elle entend avoir accès aux fins de l’exercice de ses pouvoirs et par rapport auxquelles elle introduit une demande d’autorisation auprès de ladite juridiction. Ainsi, même si la juridiction examine si et dans quelle mesure les conditions de légalité du traitement sont réunies dans un cas d’espèce donné, elle ne détermine de son propre chef ni la finalité du traitement ni les personnes et les données concernées. Dans ces conditions, ce n’est pas cette juridiction qui est responsable du traitement mais l’organe compétent pour la réalisation des finalités poursuivies.

En ce qui concerne la notion d’« autorité de contrôle », une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire ne relève pas, selon la Cour, de cette notion lorsque cette juridiction n’est pas chargée par l’État membre dont elle relève de surveiller l’application du RGPD afin de protéger, notamment, les libertés et les droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel.

En dernier lieu, la Cour estime qu’une juridiction compétente pour autoriser la divulgation de données à caractère personnel à un autre organe judiciaire n’est pas tenue, lorsqu’elle n’est pas saisie d’un recours introduit contre un responsable du traitement ( 8 ), d’assurer d’office la protection des personnes dont les données sont concernées quant au respect des dispositions de ce règlement relatives à la sécurité des données à caractère personnel. Il en va de même dans le cas où cet organe a commis, par le passé, une violation de ces dispositions.

En effet, la Cour précise qu’une juridiction nationale qui n’est pas saisie d’un recours introduit contre une autorité de contrôle ou contre un responsable du traitement ( 9 ) n’est pas tenue, en l’absence des règles lui conférant explicitement des pouvoirs de contrôle, de veiller au respect des dispositions matérielles du RGPD. Afin de garantir l’effectivité d’un tel recours, les États membres doivent s’assurer que les modalités concrètes d’exercice des voies de recours prévues par le RGPD répondent effectivement aux exigences découlant du droit à un recours effectif ( 10 ). Pour ce faire, le responsable du traitement, à savoir l’organe judiciaire compétent auquel l’accès aux données à caractère personnel a été accordé, doit fournir aux personnes dont les données sont concernées les informations énumérées à l’article 14 du RGPD ( 11 ), ces informations étant nécessaires pour permettre auxdites personnes d’exercer, le cas échéant, leur droit d’opposition au traitement de leurs données à caractère personnel ( 12 ) ainsi que leur droit de recours en cas de dommage subi ( 13 ).

( 1 ) Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

( 2 ) En application de l’article 62, paragraphe 6, point 12, du Zakon za kreditnite institutsii (loi sur les établissements de crédit) (DV no 59, du 21 juillet 2006).

( 3 ) Article 47 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

( 4 ) Telle qu’elle résulte de l’article 19, paragraphe 1, second alinéa, TUE.

( 5 ) Articles 47 et 48 de la Charte.

( 6 ) Et notamment de l’exception prévue à l’article 2, paragraphe 2, sous a), du RGPD qui prévoit que ce règlement ne s’applique pas aux traitements de données à caractère personnel effectué « dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ». Cette exception vise à exclure du champ d’application du RGPD les traitements de données à caractère personnel effectués par les autorités étatiques dans le cadre d’une activité qui vise à préserver la sécurité nationale ou d’une activité pouvant être rangée dans la même catégorie.

( 7 ) Au sens de l’article 4, point 7, et de l’article 51, paragraphe 1, du RGPD.

( 8 ) Au titre de l’article 79, paragraphe 1, du RGPD.

( 9 ) Article 78, paragraphe 1, et article 79, paragraphe 1, du RGPD.

( 10 ) Article 47 de la Charte.

( 11 ) Plus précisément, aux paragraphes 1 et 2 de cette disposition.

( 12 ) Article 21 du RGPD.

( 13 ) Articles 79 et 82 du RGPD.