Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MACIEJ SZPUNAR

présentées le 4 septembre 2025 (1)

Affaire C-312/24 [Darashev] (i)

CL

contre

Prokuratura na Republika Bulgaria

[demande de décision préjudicielle formée par le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale – Directive (UE) 2016/680 – Traitement des données collectées lors d’une enquête pénale impliquant un policier en tant que suspect – Conservation des données dans le dossier personnel – Règlement (UE) 2016/679 – Licéité du traitement – Traitement nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis – Objectif d’intérêt public – Traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions – Droit à l’effacement (“Droit à l’oubli”) – Égalité de traitement en matière d’emploi et de travail – Directive 2000/78/CE »

I. Introduction

1. Comme tout employeur, les autorités publiques traitent des données à caractère personnel de leurs agents. En même temps, l’exercice des fonctions qui leur sont confiées peut conduire à ce qu’elles collectent certaines données de leur personnel aussi dans d’autres contextes que la gestion du personnel et, dans ce cas, des questions relatives au fondement et aux finalités du traitement des données se posent.

2. C’est ainsi que la juridiction de renvoi s’interroge sur la licéité d’un traitement de données dans le cadre duquel une autorité publique conserve, dans le dossier personnel d’un agent, des informations relatives à une enquête pénale dans laquelle celui-ci a fait l’objet de mesures d’enquête en tant que suspect. En l’espèce, les données concernées ont été recueillies par cette même autorité publique en tant qu’autorité en charge de l’enquête et sont conservées dans le dossier personnel alors que l’enquête pénale a été classée, sans que l’agent concerné ait été mis en examen ou accusé.

3. La question centrale soulevée par cette affaire se situe au croisement entre le règlement (UE) 2016/679 (2) (ci-après le « RGPD ») et la directive (UE) 2016/680 (3) et vise à clarifier le fondement et les conditions du recours au droit à l’effacement des données faisant l’objet d’une conservation dans de telles circonstances.

II. Le cadre juridique

A. Le droit de l’Union

1. La directive 2000/78/CE

4. Selon son article 1^er, la directive 2000/78/CE (4) « a pour objet d’établir un cadre général pour lutter contre la discrimination fondée sur la religion ou les convictions, le handicap, l’âge ou l’orientation sexuelle, en ce qui concerne l’emploi et le travail, en vue de mettre en œuvre, dans les États membres, le principe de l’égalité de traitement ».

5. Aux termes de l’article 2, paragraphe 1, de cette directive, « on entend par “principe de l’égalité de traitement” l’absence de toute discrimination directe ou indirecte, fondée sur un des motifs visés à l’article 1^er » de ladite directive.

2. Le RGPD

6. Les considérants 19, 39 et 41 du RGPD énoncent :

« (19) […] En ce qui concerne le traitement de données à caractère personnel par ces autorités compétentes [au sens de la directive 2016/680] à des fins relevant du champ d’application du présent règlement, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement. Ces dispositions peuvent déterminer plus précisément les exigences spécifiques au traitement de données à caractère personnel par ces autorités compétentes à ces autres fins, compte tenu de la structure constitutionnelle, organisationnelle et administrative de l’État membre concerné. […]

[…]

(39) […] Les données à caractère personnel devraient être adéquates, pertinentes et limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées. Cela exige, notamment, de garantir que la durée de conservation des données soit limitée au strict minimum. […] Afin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique. […]

[…]

(41) Lorsque le présent règlement fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Cependant, cette base juridique ou cette mesure législative devrait être claire et précise et son application devrait être prévisible pour les justiciables, conformément à la jurisprudence de la [Cour] et de la Cour européenne des droits de l’homme [(ci-après la « Cour EDH »)]. »

7. L’article 2 du RGPD, intitulé « Champ d’application matériel », dispose, à son paragraphe 1, que celui-ci « s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier », et, à son paragraphe 2, sous d), que celui-ci ne s’applique pas au traitement de données à caractère personnel effectué « par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces ».

8. L’article 4 du RGPD, intitulé « Définitions », dispose :

« Aux fins du présent règlement, on entend par :

1) “données à caractère personnel”, toute information se rapportant à une personne physique identifiée ou identifiable […] ; est réputée être une “personne physique identifiable” une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification […] ;

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation […] ;

[…]

6) “fichier”, tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; […] »

9. L’article 6 du RGPD, intitulé « Licéité du traitement », prévoit :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[…]

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[…]

3. Le fondement du traitement visé au paragraphe 1, [sous] c) et e), est défini par :

[…]

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique […]. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement […] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

[…] »

10. L’article 9 du RGPD dispose :

« 1. Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

2. Le paragraphe 1 ne s’applique pas si l’une des conditions suivantes est remplie :

[…] »

11. Aux termes de l’article 10 du RGPD :

« Le traitement des données à caractère personnel relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes fondé sur l’article 6, paragraphe 1, ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. […] »

12. L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit :

« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

[…]

d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;

[…]

3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :

[…]

b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, […] ;

[…] »

3. La directive 2016/680

13. L’article 1^er, paragraphe 1, de la directive 2016/680 dispose :

« La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. »

14. L’article 3 de cette directive définit les notions de « données à caractère personnel » et de « traitement » en des termes identiques à ceux du RGPD.

15. Aux termes de l’article 3, point 7, de ladite directive, on entend par « autorité compétente », notamment, « toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ».

16. L’article 9 de la même directive, intitulé « Conditions spécifiques applicables au traitement », dispose, à son paragraphe 1 :

« Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1^er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1^er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le [RGPD] s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union. »

17. L’article 16, paragraphe 2, de la directive 2016/680 prévoit, notamment, les situations dans lesquelles les États membres accordent à la personne concernée le droit d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant.

B. Le droit bulgare

1. Le ZMVR

18. L’article 29, paragraphes 1 et 2, du Zakon za Ministerstvo na vatreshnite raboti (loi relative au ministère de l’Intérieur)(5), dans sa version applicable au litige au principal (ci-après le « ZMVR »), dispose :

« (1) Le responsable du traitement des données est le ministre de l’Intérieur, qui peut confier le traitement de données à caractère personnel à des fonctionnaires qu’il désigne.

(2) Les modalités du traitement des données à caractère personnel sont fixées par instruction du ministre de l’Intérieur. »

19. L’article 147 du ZMVR prévoit :

« (1) Un dossier personnel est établi et tenu pour chaque agent du ministère de l’Intérieur.

(2) Les modalités d’établissement, de gestion et de conservation des dossiers personnels ainsi que les modalités de leur utilisation sont fixées par instruction du ministre de l’Intérieur. »

2. L’instruction relative aux dossiers personnels

20. L’instruction n^o 8121z-532, du 9 septembre 2014, relative à la rédaction, à la tenue, au stockage et à l’utilisation des dossiers personnels des agents du ministère de l’Intérieur, émise par le ministre de l’Intérieur (6) (ci-après l’« instruction relative aux dossiers personnels »), dispose, à son article 3 :

« Les dossiers personnels sont constitués et conservés par l’unité des “ressources humaines” des structures concernées, numérotés par ordre croissant, décrits dans un journal et stockés dans des locaux (répertoires) répondant aux exigences de conservation du matériel contenant des informations classifiées. »

21. Aux termes de l’article 5, deuxième paragraphe, de cette instruction, le traitement des informations stockées dans les dossiers personnels est effectué, entre autres, aux fins du commencement, du changement et de la cessation de la relation de travail ou de service des agents.

22. L’article 6 de ladite instruction prévoit :

« (1) Dans les dossiers personnels sont collectés et stockés des documents classés en trois sections contenant des données et des informations sur l’étude, la nomination, la conclusion de contrats de travail, le changement de fonctions et la cessation de fonctions des agents.

[…]

(4) La troisième section contient des documents relatifs au changement de fonctions (décisions, actes d’entrée et de cessation de fonctions, documents relatifs à des procédures disciplinaires […]). »

III. Le litige au principal, les questions préjudicielles et la procédure devant la Cour

23. Le Ministerstvo na vatreshnite raboti (ministère des Affaires intérieures) (ci-après le « ministère ») est une autorité administrative chargée du maintien de l’ordre public qui se compose de plusieurs directions générales (ci-après les « DG »). La DG « Sécurité intérieure » est chargée de l’exécution des mesures d’enquête visant les agents du ministère pour tout type d’infractions. Entre 2012 et 2023, le requérant au principal a occupé diverses fonctions en qualité de policier au sein de la DG « Police de la sécurité » et de la DG « Police nationale ».

24. Le 1^er mars 2016, une procédure d’enquête a été engagée contre un auteur inconnu en raison d’une infraction de vol. Le 17 mai 2016, au cours d’une réunion à laquelle il assistait avec les policiers du service dans lequel il exerçait ses fonctions, le requérant au principal a été placé en garde à vue, devant ses collègues, et a été contraint de remettre sa plaque, son arme et sa carte de service. Après 24 heures de garde à vue, il a été libéré. Il n’a été, par la suite, ni mis en examen ni accusé, mais il a fait l’objet de plusieurs mesures d’enquête.

25. Au cours de l’année 2016, la procédure à l’encontre du requérant au principal a été suspendue, l’auteur de l’infraction n’ayant pas pu être identifié. Une décision de classement sans suite de la procédure a ensuite été adoptée.

26. Le requérant au principal a continué à exercer ses fonctions de policier et a participé à des concours de promotion à d’autres fonctions au sein du ministère.

27. Par la suite, le requérant au principal a introduit un recours devant le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie), la juridiction de renvoi, à l’encontre de la Prokuratura na Republika Bulgaria (parquet de la République de Bulgarie, ci-après le « Parquet »). Il demande que le Parquet soit condamné au versement d’une indemnisation en réparation du préjudice moral causé par les mesures prises à son encontre dans le cadre de l’enquête pénale ainsi que par les conséquences de cette procédure, notamment le fait de ne pas avoir été promu ou muté à d’autres fonctions au motif de sa qualité de suspect dans le cadre de cette enquête. En outre, il demande que son nom soit effacé de la base de données que le ministère conserverait et dans laquelle il figurerait en tant que suspect.

28. La juridiction de renvoi indique que le ministère est l’employeur de toutes les personnes qui y exercent leurs fonctions. Chaque DG conserve des informations relatives à ses agents dans leur dossier personnel. Les informations obtenues dans le cadre d’une enquête menée par la DG « Sécurité intérieure » y sont également conservées. Dans la procédure au principal, il a été constaté que le ministère, en sa qualité d’employeur, conserve des informations relatives au fait que le requérant au principal a été suspecté et mis en garde à vue dans le cadre de l’enquête en cause. La juridiction de renvoi nourrit toutefois des doutes sur la compatibilité de cette conservation dans le dossier personnel avec le RGPD et la directive 2016/680 ainsi que sur la compatibilité du refus de promotion allégué avec la directive 2000/78.

29. C’est dans ce contexte que le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« Convient-il d’interpréter l’article 2, [paragraphe 1,] du RGPD en ce sens que le traitement de données inclut des activités d’une unité unique dont une partie [des DG] met en œuvre les fonctions d’employeur, alors qu’une seule autre direction a la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée contre des employés des autres directions [?] En cas de réponse affirmative :

1) L’expression “traitement de données à caractère personnel” visée à l’article 4, point 2, du RGPD doit-elle être interprétée en ce sens qu’elle consiste en une activité consistant à joindre au dossier personnel de l’employé des informations qui concernent ce dernier et que l’employeur a obtenues par l’intermédiaire de sa direction agissant en sa qualité d’autorité chargée de l’enquête ?

2) Convient-il d’interpréter l’expression “fichier” visée à l’article 4, point 6, du RGPD en ce sens qu’elle consiste en un dossier personnel de l’employé ou du salarié exerçant ses fonctions dans une direction de l’employeur, alors que les informations ont été recueillies par une autre direction de l’employeur agissant en qualité d’autorité chargée de l’enquête ?

3) Convient-il d’interpréter l’article 9, paragraphe 2, sous b), du RGPD en ce sens qu’une unité d’un employeur peut recueillir et conserver des données relatives à la qualité de suspect, de personne poursuivie, ou encore d’accusé que l’employé a eue dans le cadre d’une procédure pénale, alors que ces informations ont été recueillies par une autre unité de l’employeur qui a la qualité d’autorité chargée de l’enquête ?

4) Le “droit à l’oubli” visé à l’article 17, paragraphe 1, sous a), du RGPD doit-il être interprété en ce sens que l’employeur doit effacer toutes données du dossier personnel de l’employé qu’il a recueillies et conservées par l’intermédiaire de l’une de ses autres directions qui a la qualité d’autorité chargée de l’enquête à l’encontre de son employé, ces données concernant le fait que l’employé :

– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;

– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ?

5) Les données à caractère personnel “traitées de manière illicite” visées par l’article 17, paragraphe 1, sous d), du RGPD doivent-elles être interprétées en ce sens qu’elles consistent en des données que l’employeur a obtenues, recueillies et conservées par l’intermédiaire d’une de ses unités qui a des fonctions d’enquête dans la procédure pénale engagée à l’encontre d’employés relevant de ses autres unités organisationnelles, ces données étant conservées dans le dossier personnel et concernant le fait que l’employé :

– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;

– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ?

6) Les “données à caractère personnel” visées à l’article 3, point 1, de la [directive 2016/680] combiné avec l’article 52 de la charte des droits fondamentaux de l’Union européenne [(ci-après la “Charte”)] doivent-elle être interprétées en ce sens qu’elles constituent des données que l’employeur a obtenues, recueillies et conservées par l’intermédiaire de son unité qui a des fonctions d’autorité chargée de l’enquête dans la procédure pénale engagée à l’encontre d’un employé exerçant ses fonctions dans l’une de ses autres unités ?

7) Le “traitement” de données à caractère personnel au sens de l’article 3, point 2, de la [directive 2016/680] combiné avec l’article 52 de la [Charte] doit-il être interprété en ce sens qu’il consiste en une activité de conservation par l’employeur dans le dossier personnel de l’employé de données qu’il a recueillies et conservées par l’intermédiaire de son unité chargée de l’enquête dans une procédure pénale engagée à l’encontre de cet employé qui exerce ses fonctions dans l’une de ses autres unités ?

8) L’article 9, paragraphe 1, de la [directive 2016/680] combiné avec l’article 52 de la [Charte] doit-il être interprété en ce sens qu’il autorise un employeur à recueillir et à conserver des informations relatives à un employé qui a la qualité de suspect, de personne poursuivie ou d’accusé, alors que l’employeur a recueilli ces informations par l’intermédiaire d’une de ses autres unités organisationnelles qui a la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée à l’encontre de cet employé ?

9) L’article 16, paragraphe 2, de la [directive 2016/680] combiné avec l’article 52 de la [Charte] doit-il être interprété en ce sens que l’employeur doit effacer toutes données du dossier personnel de l’employé qu’il a recueillies et conservées par l’intermédiaire de l’une de ses autres unités organisationnelles qui a la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée à l’encontre de cet employé, ces données concernant le fait que celui-ci :

– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;

– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ?

10) L’article 1^er de la [directive 2000/78] doit-il être interprété en ce sens qu’il n’autorise pas l’employeur, dont une unité organisationnelle procède à des mesures d’enquête à l’encontre d’un employé d’une autre unité, à refuser l’avancement de carrière de cet employé pour l’unique motif que ce dernier :

– est suspecté ou accusé d’une infraction ou fait l’objet de poursuites pénales dans le cadre de la procédure pénale pendante ;

– a été suspecté ou accusé d’une infraction ou encore a fait l’objet de poursuites pénales pour cette infraction à propos de laquelle une décision de suspension ou de classement sans suite de la procédure a été prononcée ? »

30. Les gouvernements bulgare et hongrois ainsi que la Commission européenne ont présenté des observations écrites. Le gouvernement bulgare et la Commission ont participé à l’audience qui s’est tenue le 21 mai 2025.

IV. Analyse

A. Sur la recevabilité des questions préjudicielles

31. Le gouvernement bulgare excipe de l’irrecevabilité manifeste des questions préjudicielles dans leur ensemble en invoquant les motifs suivants.

32. En premier lieu, ce gouvernement avance que la demande de réparation du préjudice est dirigée uniquement contre le Parquet, qui fait partie du pouvoir judiciaire, alors que seul le ministère, qui relève du pouvoir exécutif et qui était l’employeur du requérant au principal, détient les informations figurant dans le dossier personnel de celui-ci. Le requérant au principal ne pourrait donc ni demander au Parquet l’effacement de ses données, ni le tenir responsable du fait que le ministère détienne ces informations, ni lui reprocher d’avoir entravé son avancement de carrière.

33. En second lieu, ledit gouvernement relève que, pour engager la responsabilité du Parquet, la juridiction de renvoi doit déterminer, conformément à la législation nationale sur la responsabilité de l’État, si les droits du requérant au principal en tant qu’accusé ont été violés et s’il a été injustement accusé d’une infraction. Toutefois, l’affaire au principal n’aurait pour objet ni l’application de dispositions du RGPD ni celle de la législation nationale transposant les directives 2016/680 et 2000/78. L’interprétation de ces actes du droit de l’Union ne serait donc pas nécessaire pour trancher le litige au principal.

34. Je ne partage pas cette position.

35. Je rappelle que les questions préjudicielles posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence (7).

36. En l’occurrence, j’estime que cette présomption ne saurait être remise en cause. En effet, il ressort de la décision de renvoi que le litige au principal porte sur le dommage moral que le requérant au principal aurait subi, notamment, du fait du refus de promotion au motif qu’il a été suspecté. En outre, le requérant au principal demande l’effacement des données conservées au sein du ministère relatives à sa qualité de suspect dans le cadre de cette enquête. Ces demandes sont à l’origine des interrogations de la juridiction de renvoi sur l’interprétation de la directive 2000/78 ainsi que sur celle du RGPD et de la directive 2016/680 (8).

37. Il est vrai que la juridiction de renvoi n’explique pas si les mesures prises par le ministère à la suite de l’enquête pénale peuvent être imputées au Parquet dans le cadre d’une telle demande en indemnisation. Elle indique uniquement que, selon la jurisprudence nationale, une demande en indemnisation est dirigée contre le Parquet dès lors qu’elle concerne une enquête pénale. Or, la question d’une éventuelle imputation des actes prétendument préjudiciables du ministère relève du seul droit national. Il en va de même de la question de la légitimation passive dans le cadre d’une demande en indemnisation fondée sur la responsabilité de l’État au regard d’une enquête pénale. Ces arguments du gouvernement bulgare sont donc tirés de l’interprétation et de l’application du droit national. Or, il convient de rappeler qu’il n’appartient pas à la Cour de se prononcer sur l’interprétation des dispositions nationales ni de juger si l’interprétation ou l’application qu’en donne le juge national est correcte, une telle interprétation relevant de la compétence exclusive de ce dernier (9).

38. Par conséquent, je propose de ne pas considérer que les questions préjudicielles sont irrecevables dans leur ensemble.

39. En revanche, je note que les troisième à cinquième et huitième à dixième questions préjudicielles portent, en partie, sur des situations hypothétiques qui ne correspondent pas aux faits du litige tels qu’exposés dans la décision de renvoi, à savoir la participation d’une personne suspectée, accusée ou poursuivie à une procédure pendante, suspendue ou classée sans suite. Or, il ressort de la décision de renvoi que l’enquête pénale a été classée sans suite et que les concours auxquels le requérant au principal a participé ont eu lieu après cette décision de classement. En outre, il est constant que celui-ci a uniquement été suspecté.

40. Il convient dès lors de considérer les troisième à cinquième et huitième à dixième questions préjudicielles comme étant irrecevables dans la mesure où elles sont hypothétiques, en ce qu’elles visent des situations autres que celle du requérant au principal.

B. Sur le fond

1. Observations liminaires sur la portée des questions préjudicielles

41. La juridiction de renvoi a posé onze questions au total, qui visent le RGPD (question préalable et première à cinquième questions préjudicielles), la directive 2016/680 (sixième à neuvième questions préjudicielles) et la directive 2000/78 (dixième question préjudicielle).

42. Il ressort de la présente demande de décision préjudicielle que la juridiction de renvoi demande quel est l’acte juridique – le RGPD ou la directive 2016/680 – sur le fondement duquel un agent peut, dans des circonstances telles que celles en cause au principal, demander l’effacement des données de son dossier personnel qui l’identifient en tant que suspect dans le cadre d’une enquête pénale classée sans suite.

43. En premier lieu, dans un souci de clarté, il convient de préciser la prémisse factuelle qui fait l’objet des questions portant sur le RGPD et la directive 2016/680. Je note que si la plupart de ces questions (10) se réfèrent explicitement aux données conservées dans le dossier personnel de l’agent, certaines (11) se réfèrent, plus généralement, à la conservation par l’employeur des données d’un agent qui exerce ses fonctions au sein d’une unité de l’employeur, les données ayant été recueillies par l’unité en charge de l’enquête.

44. À la lumière de l’ensemble de la motivation de la décision de renvoi, ces questions ont toutes pour objet la conservation de données de l’agent dans son dossier personnel. Si la demande de décision préjudicielle mentionne également, de manière ponctuelle, la conservation de données dans des « archives » ou « bases de données » du ministère, ces indications ne sont pas ultérieurement développées et, en tout état de cause, ne sont pas reprises dans les questions.

45. Partant, mon analyse portera uniquement sur la conservation de données dans le dossier personnel.

46. En second lieu, afin de fournir des indications utiles pour que la juridiction de renvoi puisse statuer sur la demande d’effacement, j’estime nécessaire de reformuler conjointement plusieurs questions (12). Pour les raisons que j’exposerai ci-après, j’analyserai les questions en les regroupant de la manière suivante :

– la question préalable ainsi que les première, deuxième et sixième à huitième questions préjudicielles, qui visent, en substance, à déterminer le champ d’application du RGPD ;

– les troisième à cinquième questions préjudicielles, qui portent, en substance, sur les conditions de licéité du traitement dans le cadre du recours au droit à l’effacement en vertu du RGPD ;

– la neuvième question préjudicielle, qui concerne le droit à l’effacement en vertu de la directive 2016/680 ;

– la dixième question préjudicielle, qui porte sur la directive 2000/78.

2. Sur la question préalable ainsi que sur les première, deuxième et sixième à huitième questions préjudicielles

a) Sur la reformulation des questions

47. Par sa question préalable, la juridiction de renvoi demande, en substance, si l’article 2, paragraphe 1, du RGPD doit être interprété en ce sens que ce règlement s’applique au traitement de données par une autorité publique dont une partie de ses unités organisationnelles met en œuvre les fonctions d’employeur, alors que seule une autre unité avait la qualité d’autorité chargée de l’enquête dans la procédure pénale engagée contre des agents des autres unités.

48. En cas de réponse affirmative, cette juridiction demande, en substance, par ses première et deuxième questions, si l’article 4, points 2 et 6, du RGPD doivent être interprétés en ce sens que la conservation, dans le dossier personnel d’un agent d’une autorité publique, de données à caractère personnel que cette autorité publique a obtenues par l’intermédiaire de son unité agissant en sa qualité d’autorité chargée de l’enquête constitue un « traitement de données à caractère personnel » contenues dans un « fichier ».

49. Si, par les première et deuxième questions préjudicielles, la juridiction de renvoi interroge formellement la Cour sur l’interprétation à donner à ces deux notions, je suis d’avis que cela n’est pas le véritable objet de ces questions. En faisant référence au double rôle dans lequel une autorité publique, telle que le ministère, traite les données de ses agents (la collecte en tant qu’autorité en charge de l’enquête et la conservation en tant qu’employeur), lesdites questions doivent être comprises comme les prémisses du raisonnement visant à déterminer le champ d’application du RGPD. Selon moi, cette lecture est confirmée par le fait que la juridiction de renvoi ne soulève aucun doute concret sur l’interprétation de ces notions dans la motivation de ces mêmes questions.

50. S’agissant de la huitième question préjudicielle, elle s’insère, à mon sens, dans la même ligne de raisonnement et vise, en substance, à savoir si l’article 9, paragraphe 1, de la directive 2016/680 (13) doit être interprété en ce sens qu’il autorise une autorité publique à conserver des informations relatives à la qualité de suspect d’un de ses agents dans le cadre d’une enquête pénale, alors que cette autorité a recueilli ces informations par l’intermédiaire d’une de ses unités organisationnelles agissant en qualité d’autorité chargée de l’enquête.

51. Il ressort du libellé de cette huitième question, ainsi que de la motivation de la demande de décision préjudicielle, que la juridiction de renvoi nourrit, plus précisément, des doutes sur l’articulation des champs d’application du RGPD et de la directive 2016/680, lorsque les données conservées dans le dossier personnel ont été collectées par une unité organisationnelle de l’employeur dans l’exercice de ses fonctions d’« autorité compétente », au sens de l’article 3, point 7, de cette directive. Comme je l’expliquerai dans la suite des présentes conclusions, l’article 9 de ladite directive établit précisément le lien entre cette directive et le RGPD en cas de traitement ultérieur de données collectées par les autorités compétentes.

52. Les sixième et septième questions préjudicielles portent, en substance, sur le point de savoir si la conservation, dans le dossier personnel de l’agent d’une autorité publique, de données à caractère personnel que celle-ci a obtenues par l’intermédiaire de son unité organisationnelle agissant en qualité d’autorité chargée de l’enquête constitue un « traitement de données à caractère personnel », au sens de l’article 3, points 1 et 2, de la directive 2016/680.

53. J’estime que ces deux questions, à l’instar des première et deuxième questions préjudicielles, ne soulèvent, en réalité, aucune interrogation sur l’interprétation des notions de « traitement » et de « données à caractère personnel », mais sont purement instrumentales aux fins de déterminer quel acte du droit de l’Union – le RGPD ou la directive 2016/680 – s’applique. En tout état de cause, ces notions sont définies en des termes identiques à ceux de la directive 2016/680 (14), de sorte qu’elles ne constituent pas un élément de distinction.

54. Pour ces raisons, je propose de considérer que, par sa question préalable ainsi que ses première, deuxième et sixième à huitième questions conjointement, la juridiction de renvoi demande, en substance, si l’article 2, paragraphe 1, du RGPD et l’article 9, paragraphe 1, de la directive 2016/680 doivent être interprétés en ce sens que ce règlement s’applique à la conservation, par une autorité publique, de données dans le dossier personnel d’un de ses agents relatives à sa qualité de suspect dans le cadre d’une enquête pénale, lorsque les données ont été collectées par une unité organisationnelle de cette autorité publique dans l’exercice de ses fonctions d’autorité compétente, au sens de cette directive.

b) Analyse

55. En premier lieu, j’observe que l’article 2, paragraphe 1, du RGPD définit de manière large le champ d’application matériel de ce règlement, qui inclut tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu[e] [le] traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (15).

56. Il ne semble pas contesté, dans le litige au principal, que les informations relatives à la qualité de suspect qui sont conservées dans le dossier personnel du requérant au principal constituent des données à caractère personnel, au sens de l’article 4, point 1, du RGPD.

57. En outre, l’enregistrement et la conservation de données des agents dans leur dossier personnel constituent assurément un « traitement », tel que défini à l’article 4, point 2, du RGPD, et il ne semble faire aucun doute que le ministre de l’Intérieur est le responsable du traitement, au sens de l’article 4, point 7, de ce règlement (16).

58. Quant à la notion de « fichier », je précise que cette notion n’est pertinente qu’en l’absence de traitement effectué, à tout le moins en partie, de manière automatisée (17). L’article 4, point 6, du RGPD définit le terme « fichier » comme « tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés […] ». Les modalités spécifiques selon lesquelles un fichier doit être structuré ou la forme de celui-ci ne sont pas prescrites, et il n’est pas non plus précisé que les données devraient figurer dans des bases de données électroniques ou dans des dossiers ou registres physiques (18). Ainsi, un dossier personnel qui recueille des données des agents ou des employés de manière structurée relève de la notion de « fichier ». Sous réserve des vérifications par la juridiction de renvoi, cela semble être le cas en l’espèce (19).

59. En deuxième lieu, l’article 2, paragraphe 2, sous d), du RGPD dispose que ce règlement ne s’applique pas au traitement de données à caractère personnel effectué par les autorités compétentes à des fins, notamment, de prévention et de détection des infractions pénales et d’enquêtes en la matière. Ainsi qu’il ressort du considérant 19 dudit règlement et de l’article 1^er, paragraphe 1, de la directive 2016/680, un tel traitement est régi par cette directive en tant que lex specialis (20).

60. En troisième lieu, tant le RGPD que la directive 2016/680 prévoient le principe de la « limitation des finalités » (21), selon lequel les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées d’une manière incompatible avec ces finalités. Ce principe ne s’applique toutefois pas de manière absolue (22). En effet, l’article 9, paragraphe 1, de cette directive prévoit que des données peuvent être traitées à des fins autres que les fins énoncées à l’article 1^er, paragraphe 1, de celle-ci pour lesquelles ces données ont été collectées, et que le RGPD s’applique à ce traitement (23), pourvu qu’un tel traitement « soit autorisé par le droit de l’Union ou le droit d’un État membre ». Cette réserve signifie simplement que la licéité du traitement à d’autres fins doit être appréciée à la lumière du RGPD (24).

61. En l’espèce, il ne fait pas de doute que le ministère a collecté et traité, par l’intermédiaire de sa direction en charge des mesures d’enquête à l’encontre de ses agents, les données du requérant au principal aux fins énoncées à l’article 1^er, paragraphe 1, de la directive 2016/680, en tant qu’autorité compétente au sens de l’article 3, paragraphe 7, de cette directive.

62. Quant à la conservation de ces données dans le dossier personnel du requérant, la juridiction de renvoi ne donne aucune indication sur les finalités poursuivies. Toutefois, selon les explications fournies par le gouvernement bulgare (25), sous réserve des vérifications à effectuer par la juridiction de renvoi, la conservation dans le dossier personnel ne serait pas effectuée aux fins énoncées à l’article 1^er, paragraphe 1, de la directive 2016/680. Dans ces conditions, je suis d’avis, à l’instar de tous les participants à la procédure ayant soumis des observations écrites, que le RGPD s’applique au traitement, dans le dossier personnel, de données telles que celles en cause au principal.

63. Je propose donc à la Cour de répondre à la question préalable et aux première, deuxième et sixième à huitième questions préjudicielles que l’article 2, paragraphe 1, du RGPD et l’article 9, paragraphe 1, de la directive 2016/680 doivent être interprétés en ce sens que ce règlement s’applique à la conservation, par une autorité publique, de données dans le dossier personnel d’un de ses agents relatives à sa qualité de suspect dans le cadre d’une enquête pénale, lorsque les données ont été collectées par une unité organisationnelle de cette autorité publique dans l’exercice de ses fonctions d’autorité compétente, au sens de cette directive, pour autant que la conservation poursuive des finalités autres que celles énoncées à l’article 1^er, paragraphe 1, de celle-ci.

3. Sur les troisième à cinquième questions préjudicielles

a) Sur la reformulation des questions

64. Par sa troisième question, la juridiction de renvoi demande, en substance, si l’article 9, paragraphe 2, sous b), du RGPD doit être interprété en ce sens qu’une unité organisationnelle d’une autorité publique peut recueillir et conserver des données relatives au fait qu’un de ses agents a été suspecté dans le cadre d’une procédure pénale, alors que ces informations ont été recueillies par une autre unité de cette autorité ayant la qualité d’autorité chargée de l’enquête.

65. La quatrième question préjudicielle vise à savoir si l’article 17, paragraphe 1, sous a), du RGPD doit être interprété en ce sens qu’une autorité publique doit effacer, en sa qualité d’employeur, toutes les données du dossier personnel d’un agent relatives à sa qualité de suspect dans le cadre d’une enquête pénale classée sans suite, lorsque ces données ont été recueillies par une unité de cette autorité qui a la qualité d’autorité chargée de l’enquête visant cet agent.

66. En outre, la cinquième question préjudicielle vise à savoir, en substance, si l’article 17, paragraphe 1, sous d), de ce règlement doit être interprété en ce sens que de telles données sont « traitées de manière illicite ».

67. En ce qui concerne la disposition visée par la troisième question préjudicielle, il convient de relever que l’article 9 du RGPD régit, ainsi qu’il ressort de son paragraphe 1, le traitement de certaines catégories particulières de données. Rien dans la décision de renvoi n’indique que, en l’espèce, les données issues de l’enquête pénale qui sont conservées dans le dossier personnel correspondent à l’une de ces catégories. Partant, l’article 9, paragraphe 2, sous b), de ce règlement ne saurait constituer un fondement pour la conservation des données en cause en l’espèce. Ainsi que je l’expliquerai dans la suite des présentes conclusions, le fondement de la licéité doit être recherché dans d’autres dispositions dudit règlement, qui ne sont pas mentionnées dans les questions posées par la juridiction de renvoi (26).

68. Les dispositions de l’article 17, paragraphe 1, sous a) et d), du RGPD, qui font l’objet des quatrième et cinquième questions préjudicielles, consacrent les motifs d’effacement des données qui « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » [sous a)] ou qui « ont fait l’objet d’un « traitement illicite » [sous d)].

69. Or, il ressort d’une lecture conjointe de ces deux questions et de la motivation de la demande de décision préjudicielle que, par celles-ci, la juridiction de renvoi se demande, plus fondamentalement, en tant que prémisse pour se prononcer sur la demande d’effacement, si la conservation des données en cause dans le dossier personnel est licite.

70. Si la juridiction de renvoi ne fournit aucune indication sur l’éventuel motif de licéité pertinent en l’espèce ni sur le cadre juridique national applicable, tant la Commission que le gouvernement bulgare ont fait référence, dans leurs observations écrites, à l’article 6, paragraphe 1, sous c), du RGPD.

71. Selon cette disposition, un traitement est licite lorsqu’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis. L’article 6, paragraphe 3, du RGPD précise, notamment, que le droit de l’État membre auquel le responsable du traitement est soumis et qui définit le fondement du traitement répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi. Ce même motif de licéité est reflété à l’article 17, paragraphe 3, sous b), de ce règlement, qui exclut le droit à l’effacement prévu à l’article 17, paragraphe 1, de celui-ci, lorsque le traitement des données est nécessaire pour respecter une telle obligation légale (27).

72. À cet égard, le gouvernement bulgare a précisé que le traitement des données à caractère personnel aux fins de l’établissement, de la tenue, de la conservation et de l’utilisation des dossiers personnels des agents du ministère est effectué sur le fondement de l’instruction relative aux dossiers personnels émise par le ministre de l’Intérieur sur la base de l’article 147, paragraphe 2, du ZMVR. Cette instruction prévoit que sont conservées, notamment, toutes données aux fins du « changement de fonctions » des agents, telles que celles relatives à des procédures disciplinaires (28). Sur ce point, ce gouvernement a indiqué que, selon les dispositions applicables en matière de responsabilité disciplinaire des agents du ministère, pour tout incident relatif à une infraction pénale au sein du ministère, une copie du rapport sur le résultat de l’enquête et sur la question de savoir s’il faut engager la responsabilité disciplinaire de l’agent est versée au dossier personnel. Selon ledit gouvernement, il en découlerait que la conservation de ces données dans le dossier personnel est justifiée par les fonctions particulières des agents de police, qui visent à maintenir l’ordre public.

73. C’est sur la base de ces prémisses tirées des observations soumises à la Cour (29) que je propose de reformuler les troisième à cinquième questions préjudicielles en ce sens qu’elles visent à déterminer si l’article 17, paragraphe 3, du RGPD, lu en combinaison avec l’article 6, paragraphe 1, sous c), et l’article 6, paragraphe 3, de celui-ci, doit être interprété en ce sens que la conservation, dans le dossier personnel d’un agent de police, de données à caractère personnel relatives à une enquête pénale dans le cadre de laquelle cet agent a fait l’objet de mesures d’enquête en tant que suspect et qui a été classée sans suite peut être considérée comme licite aux fins du respect d’une obligation légale auquel l’autorité publique, qui est son employeur, est soumise sur le fondement du droit national en tant que responsable du traitement, du seul fait de la nature des missions que cet agent doit accomplir.

b) Analyse

74. Il semble ressortir des explications fournies par le gouvernement bulgare que la base juridique de la conservation des données en cause résulte d’une lecture combinée de plusieurs dispositions figurant dans une « instruction » émise par le ministre de l’Intérieur sur le fondement du ZMVR, lequel prévoit une délégation expresse du pouvoir réglementaire à ce ministre.

75. À cet égard, se pose tout d’abord la question de savoir si le fondement du traitement, au sens de l’article 6, paragraphe 3, du RGPD, peut être défini par un acte réglementaire adopté par une autorité publique d’un État membre sur le fondement d’une habilitation légale prévue dans un acte législatif national.

76. Le considérant 41 du RGPD énonce, à sa première phrase, que l’exigence d’une base juridique ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, sans préjudice des obligations prévues en vertu de l’ordre constitutionnel de l’État membre concerné. Il s’ensuit que le législateur de l’Union n’a pas voulu exclure qu’une obligation légale relative au traitement soit définie en droit national par une base juridique autre qu’une loi au sens formel, en conformité avec le droit constitutionnel national.

77. En outre, il convient de relever que, selon le considérant 19 du RGPD, les États membres devraient avoir une certaine marge de manœuvre quant au traitement de données effectué, comme en l’espèce, par une autorité compétente, au sens de la directive 2016/680, mais à des fins relevant du RGPD. Ainsi, les États membres devraient pouvoir maintenir ou introduire des dispositions plus spécifiques pour adapter l’application du RGPD en ce qui concerne le traitement de telles données, « compte tenu de la structure constitutionnelle, organisationnelle et administrative de l’État membre concerné ».

78. Le RGPD ne s’oppose ainsi pas à ce que la base juridique du traitement soit définie dans un acte règlementaire adopté en conformité avec le droit constitutionnel national. Toutefois, ladite marge de manœuvre ne saurait être interprétée comme permettant d’utiliser de manière arbitraire les clauses dites « d’ouverture », telles que celle de l’article 6, paragraphe 3, du RGPD, qui permet d’introduire en droit national une obligation légale en tant que motif de licéité du traitement des données (30). En effet, ainsi que l’énonce la seconde phrase du considérant 41 de ce règlement – en reprenant la jurisprudence relative à l’article 52, paragraphe 1, de la Charte (31), à la lumière duquel l’article 6, paragraphe 3, du dudit règlement doit être interprété (32) –, la base juridique du traitement devrait être claire et précise et son application devrait être prévisible pour les justiciables.

79. En l’espèce, il ressort du dossier de l’affaire que les instructions du ministère sont émises en tant qu’actes réglementaires sur le fondement de l’habilitation légale prévue par le ZMVR et sont également publiées au Darzhaven vestnik (journal officiel). Elles ne constituent donc pas des instructions purement internes, qui, à l’évidence, ne sauraient être qualifiées de « loi » au sens matériel (33).

80. Toutefois, les dispositions auxquelles le gouvernement bulgare a fait référence suscitent, selon moi, des interrogations quant à la prévisibilité du traitement des données issues d’une enquête pénale. Plus précisément, je nourris des doutes quant à la prévisibilité des finalités du traitement qui, conformément à l’article 6, paragraphe 3, du RGPD, doivent être définies par la base juridique du traitement.

81. Selon les indications fournies par le gouvernement bulgare, parmi ces finalités, qui apparaissent être énumérées de manière exhaustive à l’article 5, paragraphe 2, de l’instruction relative aux dossiers personnels, figure celle relative au « changement […] de service des agents », à laquelle correspondrait la conservation des données en cause. Selon l’article 6, paragraphe 4, de cette instruction, les données conservées aux fins du « changement de fonctions » comprendraient, notamment, les « documents relatifs à des procédures disciplinaires ».

82. Or, en considérant le contenu des données en cause, il apparaît que cette finalité est comprise comme incluant, de manière très large et en dépit de son libellé, même la conservation de données sur l’absence de telles procédures disciplinaires à la suite de l’enquête, tel que cela aurait été le cas en l’espèce, et qui ne concernent donc aucun changement de fonctions de l’agent concerné.

83. Sous réserve de toute autre disposition que la juridiction de renvoi considérerait pertinente, une telle application très large des dispositions concernées de l’instruction relative aux dossiers personnels ne me semble pas respecter les exigences énoncées au point 78 des présentes conclusions.

84. Si la Cour ne partageait pas ma position en ce qui concerne le constat de manque de prévisibilité de la base légale, j’estime que cette base légale constituant le fondement de la conservation des données n’apparaît en tout état de cause pas répondre à un objectif d’intérêt public au sens de l’article 6, paragraphe 3, du RGPD.

85. Sur ce point, le gouvernement bulgare a fait valoir à l’audience que, en l’absence de procédure disciplinaire engagée à la suite d’une enquête, les données relatives à cette enquête ne seraient pas ultérieurement utilisées dans le cadre de la gestion de la carrière de l’agent. Il serait néanmoins dans l’intérêt public de conserver de telles données, car elles concernent des personnes en charge d’activités spécifiques visant à garantir l’ordre public et à défendre la population.

86. Certes, il est généralement admis que la fonction de policier exige le respect de règles de conduite et de comportement d’un niveau plus élevé par rapport à d’autres agents ou employés. Cela étant, il est constant que, dans le cas qui nous occupe, l’enquête a été classée sans suite en l’absence de preuves et qu’aucune procédure en responsabilité disciplinaire n’a été engagée à l’encontre de l’agent concerné. Partant, je ne vois pas en quoi la nature des fonctions de défense de l’ordre public qui incombent à cet agent pourrait justifier la conservation des données en cause dans son dossier personnel.

87. En outre, le gouvernement bulgare a précisé à l’audience que la conservation de données issues de l’enquête pénale est liée à la conservation de données relatives à la responsabilité disciplinaire des agents, dans la mesure où le résultat de l’enquête pénale serait déterminant pour savoir s’il y a lieu d’engager une telle responsabilité disciplinaire. Ainsi, le dossier personnel du requérant au principal indiquerait que l’enquête pénale dont il a fait l’objet en tant que suspect a conclu à l’absence de preuves à son encontre, de sorte qu’aucune procédure disciplinaire n’a été ouverte. Or, j’estime qu’il s’agit là d’un raisonnement circulaire qui assimile la conservation des données à un objectif d’intérêt général. En suivant une telle logique, toute conservation de données serait alors justifiée par elle-même, ce qui rendrait l’exigence d’un objectif d’intérêt public superflu.

88. Par ailleurs, en suivant cet argument jusqu’au bout de sa logique, la conservation de certaines données aux fins de démontrer l’absence d’accusation, de condamnation ou de sanctions disciplinaires – alors que cela pourrait également être démontré sans inclure aucune information relative à l’enquête pénale ou à la responsabilité disciplinaire dans le dossier personnel – impliquerait que, sans une telle conservation, l’absence d’antécédents ne pourrait être prouvée.

89. Or, nous serions là presque en présence d’une présomption de culpabilité, en violation du principe de présomption d’innocence, consacré à l’article 48, paragraphe 1, de la Charte, qui correspond (34) à l’article 6, paragraphe 2, de la CEDH. Je souligne que, selon la jurisprudence de la Cour EDH, ce principe ne s’arrête pas à la clôture de la procédure pénale, mais a pour but d’empêcher que des individus qui ont bénéficié d’un acquittement ou d’un abandon des poursuites soient traités dans des procédures ultérieures par des autorités publiques comme s’ils étaient en fait coupables de l’infraction qui leur avait été imputée (35). Cette interprétation militerait donc en faveur du rétablissement, en cas de classement sans suite de l’enquête, du statu quo ante dans le dossier personnel.

90. Indépendamment de cette dernière considération, je considère que les éléments dont dispose la Cour ne sont pas suffisants pour établir que les exigences prévues à l’article 6, paragraphe 1, sous c), et à l’article 6, paragraphe 3, du RGPD soient respectées. Dans la mesure où aucun des autres motifs de licéité visés à l’article 6, paragraphe 1, de ce règlement ne s’appliquerait en l’espèce, ce qu’il appartient à la juridiction de renvoi de vérifier (36), il y aurait lieu de considérer que la conservation de ces données n’est pas licite et que l’agent a donc le droit d’obtenir leur effacement, au titre de l’article 17, paragraphe 1, sous d), dudit règlement.

91. Dans ces conditions, et en l’absence d’autres indications sur l’objectif légitime poursuivi, il n’est pas possible d’apprécier la proportionnalité de la durée de la conservation des données dans les dossiers personnels qui, selon les informations fournies par le gouvernement bulgare à l’audience, irait jusqu’à l’âge de 100 ans de l’agent. Pour autant, l’application de ce délai, de manière indifférenciée, à toute donnée relative à l’enquête pénale, indépendamment de l’issue de celle-ci et de l’imposition ou non de sanctions disciplinaires, ne saurait, elle non plus, être justifiée par un simple renvoi aux missions des agents de police (37).

92. En conclusion, je propose de répondre aux troisième à cinquième questions préjudicielles que l’article 17, paragraphe 3, du RGPD, lu en combinaison avec l’article 6, paragraphe 1, sous c), et l’article 6, paragraphe 3, de celui-ci, doit être interprété en ce sens que la conservation, dans le dossier personnel d’un agent de police, de données à caractère personnel relatives à une enquête pénale dans laquelle cet agent a fait l’objet de mesures d’enquête en tant que suspect et qui a été classée sans suite ne saurait être considérée comme licite aux fins du respect d’une obligation légale auquel l’autorité publique, qui est son employeur, est soumise sur le fondement du droit national en tant que responsable du traitement du seul fait de la nature des missions que cet agent doit accomplir.

c) Réflexions ultérieures

93. Je souhaite me pencher brièvement sur l’article 10 du RGPD, au sujet duquel la juridiction de renvoi n’a pas posé de question, mais sur lequel le gouvernement bulgare a pris position à l’audience en réponse à une question posée par la Cour.

94. Cette disposition établit des conditions spécifiques applicables au traitement des données « relatives aux condamnations pénales et aux infractions ». Elle prévoit, notamment, que le traitement de telles données fondé sur l’article 6, paragraphe 1, du RGPD ne peut être effectué que sous le contrôle de l’autorité publique, ou si le traitement est autorisé par le droit de l’Union ou par le droit d’un État membre qui prévoit des garanties appropriées pour les droits et libertés des personnes concernées. Ainsi qu’il ressort du libellé de ladite disposition, elle ne s’applique qu’aux traitements qui répondent à l’un des motifs de licéité prévus à l’article 6, paragraphe 1, du RGPD. Ainsi, la juridiction de renvoi ne devrait tenir compte de l’article 10 de ce règlement que si elle conclut à la licéité de la conservation des données en cause.

95. Cela étant, même si tel était le cas, j’estime que, dans les circonstances de l’espèce, les exigences ultérieures prévues par l’article 10 du RGPD seraient en tout état de cause remplies.

96. D’emblée, je rappelle que, selon la jurisprudence, l’article 10 du RGPD s’applique aux données relatives aux infractions pénales indépendamment du fait que l’infraction pour laquelle la personne était poursuivie a été établie ou non au cours de la procédure pénale (38).

97. En l’espèce, il est constant que le requérant au principal n’a été ni poursuivi ni accusé, mais que les données conservées dans son dossier personnel font état de ce qu’il a fait l’objet de mesures d’enquête en tant que suspect. En outre, j’estime que de telles données constituent des données « relatives » à des infractions pénales (39). En effet, l’objectif poursuivi par l’article 10 du RGPD (40) plaide en faveur d’appliquer cette disposition aux données à caractère personnel qui font état de ce que des soupçons sur la commission d’une infraction pénale ont donné lieu à des mesures d’enquête, adoptées par l’autorité compétente à l’encontre de la personne concernée (41). Même si l’enquête ne conduit pas à une condamnation, le fait que de telles données figurent dans le dossier personnel peut avoir des conséquences négatives par la suite.

98. Or, lorsque le responsable du traitement est une autorité publique, le traitement des données à caractère personnel est, en tout état de cause, effectué « sous le contrôle de l’autorité publique » (42). En l’espèce, les données du requérant au principal ont été traitées exclusivement au sein des unités du ministère en tant que responsable du traitement. Dès lors, il ne serait pas nécessaire d’examiner si le droit national prévoit, au sens de l’article 10 du RGPD, des garanties appropriées pour les droits et libertés des personnes concernées.

4. Sur la neuvième question préjudicielle

99. Par sa neuvième question, la juridiction de renvoi demande, en substance, si l’article 16, paragraphe 2, de la directive 2016/680 doit être interprété en ce sens qu’une autorité publique, en sa qualité d’employeur, doit effacer du dossier personnel de l’agent toutes données ayant été recueillies et conservées par l’intermédiaire de son unité organisationnelle ayant la qualité d’autorité chargée de l’enquête lorsque ces données concernent le fait que l’agent a été suspecté dans le cadre d’une enquête pénale classée sans suite.

100. Dans la mesure où il ressort de l’analyse qui précède que le RGPD s’applique à la conservation de données telles que celles en cause dans l’affaire au principal et que l’application de la directive 2016/680 est exclue, il n’y a pas lieu de répondre à la neuvième question préjudicielle.

5. Sur la dixième question préjudicielle

101. Par sa dixième question, la juridiction de renvoi se demande, en substance, si l’article 1^er de la directive 2000/78 doit être interprété en ce sens que cette directive s’oppose à ce qu’une autorité publique, dont une unité organisationnelle exécute des mesures d’enquête à l’encontre d’un agent d’une autre unité, refuse, en sa qualité d’employeur, de promouvoir celui-ci au seul motif qu’il a été suspecté dans le cadre d’une enquête pénale classée sans suite.

102. Tout d’abord, en ce qui concerne les prémisses factuelles sur lesquelles repose cette question, le gouvernement bulgare a indiqué lors de l’audience, en réponse aux questions posées par la Cour, que, au cours de la période suivant l’enquête pénale, le requérant au principal, contrairement à ce qu’il affirme, aurait été promu à des fonctions supérieures. Or, la présomption de pertinence dont bénéficient les questions préjudicielles ne saurait être renversée par la simple circonstance que l’une des parties au principal conteste certains faits dont il n’appartient pas à la Cour de vérifier l’exactitude et dont dépend la définition de l’objet du litige (43).

103. Ensuite, je rappelle que la directive 2000/78 énumère de manière exhaustive, à son article 1^er, les motifs de discrimination qu’elle interdit, à savoir la religion ou les convictions, le handicap, l’âge ou l’orientation sexuelle (44). Or, la circonstance d’avoir été suspecté dans le cadre d’une enquête pénale classée sans suite ne relève d’aucun de ces motifs. Le refus de l’avancement de carrière fondé sur cette seule circonstance ne relève donc pas du champ d’application de cette directive.

104. Dans ces conditions, la circonstance que les données relatives à la qualité de suspect ont été recueillies par une unité organisationnelle de l’employeur différente de celle à laquelle l’agent était affecté est dénuée de pertinence.

105. La directive 2000/78 ne s’applique pas non plus au refus de promotion en raison de la qualité de suspect en tant que policier. En effet, il ressort de la jurisprudence de la Cour qu’une discrimination fondée sur la relation de travail en tant que telle, en particulier sur l’appartenance à une catégorie socioprofessionnelle ou sur le lieu de travail, ne relève pas de cette directive (45).

106. Partant, je propose de répondre à la dixième question préjudicielle que l’article 1^er de la directive 2000/78 doit être interprété en ce sens que cette directive ne s’applique pas au refus de l’avancement de carrière d’un agent au seul motif que ce dernier a été suspecté dans le cadre d’une enquête pénale classée sans suite.

V. Conclusion

107. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par le Sofiyski rayonen sad (tribunal d’arrondissement de Sofia, Bulgarie) :

1) L’article 2, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE, et l’article 9, paragraphe 1, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

doivent être interprétés en ce sens que :

ce règlement s’applique à la conservation, par une autorité publique, de données dans le dossier personnel d’un de ses agents relatives à sa qualité de suspect dans le cadre d’une enquête pénale, lorsque les données ont été collectées par une unité organisationnelle de cette autorité publique dans l’exercice de ses fonctions d’autorité compétente, au sens de cette directive, pour autant que la conservation poursuive des finalités autres que celles énoncées à l’article 1^er, paragraphe 1, de celle-ci.

2) L’article 17, paragraphe 3, du règlement 2016/679, lu en combinaison avec l’article 6, paragraphe 1, sous c), et l’article 6, paragraphe 3, de celui-ci,

doit être interprété en ce sens que :

la conservation, dans le dossier personnel d’un agent de police, de données à caractère personnel relatives à une enquête pénale dans laquelle cet agent a fait l’objet de mesures d’enquête en tant que suspect et qui a été classée sans suite ne saurait être considérée comme licite aux fins du respect d’une obligation légale auquel l’autorité publique, qui est son employeur, est soumise sur le fondement du droit national en tant que responsable du traitement du seul fait de la nature des missions que cet agent doit accomplir.

3) L’article 1^er de la directive 2000/78/CE du Conseil, du 27 novembre 2000, portant création d’un cadre général en faveur de l’égalité de traitement en matière d’emploi et de travail

doit être interprété en ce sens que :

cette directive ne s’applique pas au refus de l’avancement de carrière d’un agent au seul motif que ce dernier a été suspecté dans le cadre d’une enquête pénale classée sans suite.

1 Langue originale : le français.

i Le nom de la présente affaire est un nom fictif. Il ne correspond au nom réel d’aucune partie à la procédure.

2 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

3 Directive du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).

4 Directive du Conseil du 27 novembre 2000 portant création d’un cadre général en faveur de l’égalité de traitement en matière d’emploi et de travail (JO 2000, L 303, p. 16).

5 DV n^o 53, du 27 juin 2014.

6 DV n^o 78, du 19 septembre 2014, modifiée et complétée au DV n^o 27, du 14 avril 2015, modifiée et complétée au DV n^o 53, du 25 juin 2021.

7 Voir, en ce sens, arrêt du 8 mai 2025, Stadt Wuppertal (C-130/24, EU:C:2025:340, point 42).

8 Bien que l’enquête pénale se soit déroulée en 2016, à savoir avant l’entrée en vigueur du RGPD et de la directive 2016/680, le requérant au principal demande l’effacement de ses données qui, à ce jour, sont toujours conservées par le ministère. Dans ces conditions, je n’ai pas de doute quant au fait que le RGPD et la directive 2016/680 sont applicables ratione temporis au litige au principal.

9 Voir, en ce sens, arrêt du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable) (C-548/21, EU:C:2024:830, point 53).

10 Les première, deuxième, quatrième, cinquième, septième et neuvième questions préjudicielles.

11 Les troisième, sixième et huitième questions préjudicielles.

12 Sur la reformulation des questions, voir arrêt du 3 juin 2025, Kinsa (C-460/23, EU:C:2025:392, point 34 et jurisprudence citée).

13 L’article 52 de la Charte, également visé par cette question, régit les limitations aux droits fondamentaux et n’est, selon moi, pas pertinent dans le contexte de la délimitation des champs d’application du RGPD et de la directive 2016/680.

14 L’interprétation de ces notions faite dans le cadre du RGPD devrait ainsi s’appliquer par analogie à cette directive ; voir, sur la notion de « traitement », arrêt du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable) (C-548/21, EU:C:2024:830, point 71).

15 Voir, en ce sens, arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C-180/21, EU:C:2022:967, point 73).

16 Voir article 29, paragraphe 1, du ZMVR. Sur la désignation du responsable du traitement par le droit national, voir arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C-231/22, EU:C:2024:7, points 29 et 30).

17 Article 2, paragraphe 1, du RGPD.

18 Voir, en ce sens, arrêt du 7 mars 2024, Endemol Shine Finland (C-740/22, EU:C:2024:216, points 37 et 38).

19 Selon les informations soumises par le gouvernement bulgare, en vertu de l’article 147, paragraphe 1, du ZMVR et des articles 3 et 6 de l’instruction relative aux dossiers personnels, ceux-ci sont numérotés par ordre croissant et stockés dans des répertoires spécifiques, et les données à caractère personnel y sont conservées et réparties en des sections prédéfinies.

20 Voir, en ce sens, arrêt du 8 décembre 2022, Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C-180/21, EU:C:2022:967, point 74).

21 Article 5, paragraphe 1, sous b), du RGPD et article 4, paragraphe 1, sous b), de la directive 2016/680.

22 Voir, en ce sens, conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Inspektor v Inspektorata kam Visshia sadeben savet (Finalités du traitement de données à caractère personnel – Enquête pénale) (C-180/21, EU:C:2022:406, points 37, 38, 70 et 71).

23 À moins qu’il ne s’agisse d’une activité ne relevant pas du champ d’application du droit de l’Union, c’est-à-dire ayant pour but de préserver la sécurité nationale ou pouvant être rangée dans la même catégorie, ce qui ne semble pas être le cas ici ; voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, points 66 à 68).

24 Voir, en ce sens, conclusions de l’avocat général Campos Sánchez-Bordona dans l’affaire Lietuvos Respublikos generalinė prokuratūra (C-162/22, EU:C:2023:266, points 83 et 84).

25 Voir, plus précisément, point 72 des présentes conclusions.

26 Cette circonstance ne fait pas obstacle à ce que la Cour prenne en considération ces dispositions dans la reformulation des questions ; voir arrêt du 13 mars 2025, Alsen (C-137/23, EU:C:2025:179, point 46 et jurisprudence citée).

27 Voir, en ce sens, conclusions de l’avocat général Medina dans l’affaire Agentsia po vpisvaniyata (C-200/23, EU:C:2024:445, points 62 et 63).

28 Article 5, paragraphe 2, et article 6, paragraphe 4, de l’instruction relative aux dossiers personnels.

29 Sur la prise en compte de telles indications, voir arrêt du 13 juillet 2023, Ferrovienord (C-363/21 et C-364/21, EU:C:2023:563, point 58 et jurisprudence citée).

30 Voir, en ce sens, conclusions de l’avocat général Pikamäe dans l’affaire SCHUFA Holding e.a. (Scoring) (C-634/21, EU:C:2023:220, point 69).

31 Voir, entre autres, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C-175/20, EU:C:2022:124, points 54 à 56).

32 Voir, en ce sens, arrêt du 1^er août 2022, Vyriausioji tarnybinės etikos komisija (C-184/20, EU:C:2022:601, points 69 et 70).

33 Voir, sur la qualité de loi au sens de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la « CEDH »), Cour EDH, 25 mars 1983, Silver e.a. c. Royaume-Uni, CE:ECHR:1983:0325JUD000594772, § 26 et § 86 à 88.

34 Voir, notamment, arrêt du 2 février 2021, Consob (C-481/19, EU:C:2021:84, point 37).

35 Pour un aperçu de cette jurisprudence, voir Cour EDH, Grande chambre, 11 juin 2024, Nealon et Hallam c. Royaume-Uni, CE:ECHR:2024:0611JUD003248319, § 102 à 109 et § 122 à 125, ainsi que, plus spécifiquement, en matière de fonction publique, Cour EDH, 16 février 2017, Yildiz c. Turquie, CE:ECHR:2017:0124DEC006518210, § 30 à 34. Dans cette affaire, un policier alléguait qu’une procédure de notation négative impliquait une présomption qu’il était coupable d’une infraction pénale, alors qu’il avait été acquitté. La Cour EDH a toutefois conclu à l’inapplicabilité de l’article 6, paragraphe 2, de la CEDH, car le requérant n’avait pas démontré que le traitement dont il avait fait l’objet avait créé un lien entre la procédure pénale et la procédure administrative ultérieure.

36 La Commission a fait référence, dans ses observations écrites, à l’article 6, paragraphe 1, sous e), du RGPD, visant le traitement qui est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. S’il s’agit effectivement d’un motif de licéité susceptible de s’appliquer à une autorité publique, il est également soumis aux exigences de l’article 6, paragraphe 3, de ce règlement. Ainsi, la question de l’existence d’un objectif d’intérêt public se poserait tout de même.

37 Je rappelle que, en vertu du principe de la minimisation des données, consacré à l’article 5, paragraphe 1, sous c), du RGPD, les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Selon le considérant 39 du RGPD, ce principe exige de garantir que la durée de conservation des données soit limitée au strict minimum.

38 Arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C-136/17, EU:C:2019:773, point 72).

39 Le gouvernement bulgare a expliqué à l’audience que la qualité de suspect ne comporte pas de statut juridique particulier en droit bulgare. Or, la Cour a déjà dit que la notion d’« infraction » doit être interprétée de manière autonome et uniforme [arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, points 80 à 85)], ce qui devrait valoir, selon moi, pour tous les éléments du champ d’application de l’article 10 du RGPD.

40 À savoir d’assurer une protection accrue en ce qui concerne les traitements qui, en raison de la sensibilité particulière des données, sont susceptibles de constituer une ingérence particulièrement grave dans la vie privée ou professionnelle de la personne concernée ; voir arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, points 74 et 75).

41 Cette position est partagée par Bäcker, M., « Art. 10 », dans Wolff, H. A., Brink, S., et von Ungern-Sternberg, A., BeckOK Datenschutzrecht, 51^e éd., C.H. Beck, 2024, point 3 ; voir également Georgieva, L., « Article 10 », dans Kuner, C., Bygrave, L.A., et Docksey, C., The EU General Data Protection Regulation (GDPR). A Commentary, Oxford University Press, 2020, p. 389.

42 Voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, point 101).

43 Arrêt du 5 décembre 2006, Cipolla e.a. (C-94/04 et C-202/04, EU:C:2006:758, point 26).

44 Voir, en ce sens, arrêts du 17 juillet 2008, Coleman (C-303/06, EU:C:2008:415, points 38 et 46) ; du 7 juillet 2011, Agafiţei e.a. (C-310/10, EU:C:2011:467, point 34), et du 20 octobre 2022, Curtea de Apel Alba Iulia e.a. (C-301/21, EU:C:2022:811, points 64 et 69 ainsi que jurisprudence citée).

45 Arrêts du 7 juillet 2011, Agafiţei e.a. (C-310/10, EU:C:2011:467, points 31 à 33) ; du 9 mars 2017, Milkova (C-406/15, EU:C:2017:198, point 44), et du 17 octobre 2024, Zetschek (C-349/23, EU:C:2024:889, point 25 ainsi que jurisprudence citée).