CJUE, n° C-414/24, Conclusions de l'avocat général de la Cour, 4 septembre 2025

CJUE, Demande (JO) 13 juin 2024

CJUE, Conclusions de l'avocat général 4 septembre 2025

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.

Accepté
Droit à l'effacement des données
La cour a souligné que le RGPD permet l'exercice concurrent et indépendant des voies de recours, et que le rejet de la réclamation par l'autorité de contrôle ne peut être justifié par l'existence d'un recours juridictionnel pendante.

Commentaires • 5

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées.

1. Uitspraak van arresten en lezing van conclusies - 04/09/2025

CJUE · 13 septembre 2025

2. Sentencias y conclusiones - 04/09/2025

CJUE · 13 septembre 2025

3. Pronuncia di sentenze e lettura di conclusioni - 04/09/2025

CJUE · 13 septembre 2025

Testez Doctrine gratuitement
pendant 7 jours

Démarrer

Vous avez déjà un compte ?Connexion

Afficher tout (5)

Sur la décision

Référence :	CJUE, 4 sept. 2025, C-414/24
Numéro(s) :	C-414/24
Conclusions de l'avocat général M. J. Richard de la Tour, présentées le 4 septembre 2025.###
Précédents jurisprudentiels :	29 C-132/21, EU:C:2022:661 36 Voir arrêts du 16 juillet 2020, Facebook Ireland et Schrems ( C-311/18, EU:C:2020:559 ( C-768/21, EU:C:2024:785 Cour constitutionnelle ) du 14 octobre 1970, G 20/70 Információszabadság Hatóság ( C-132/21, EU:C:2022:661 Inspektorat kam Visshia sadeben savet ( C-313/23, C-316/23 et C-332/23, EU:C:2025:303 Lindenapotheke ( C-21/23, EU:C:2024:846 RGPD, arrêt du 4 octobre 2024, Lindenapotheke ( C-21/23, EU:C:2024:846
Identifiant CELEX :	62024CC0414
Identifiant européen :	ECLI:EU:C:2025:656
Télécharger le PDF original fourni par la juridiction

Sur les parties

Avocat général :	Richard de la Tour

Texte intégral

Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. JEAN RICHARD DE LA TOUR

présentées le 4 septembre 2025 (1)

Affaire C-414/24

Datenschutzbehörde,

Dr. G S

en présence de

Bundesministerin für Justiz,

D GmbH

[demande de décision préjudicielle formée par le Verwaltungsgerichtshof (Cour administrative, Autriche)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Articles 77 et 79 – Voies de recours – Exercice parallèle – Articulation entre réclamation administrative et recours juridictionnel – Autonomie procédurale des États membres – Principe d’effectivité »

I. Introduction

1. La présente demande de décision préjudicielle porte sur l’interprétation de l’article 77, paragraphe 1, et de l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (2).

2. Cette demande a été présentée dans le cadre d’un litige opposant le docteur GS (ci-après « GS ») à l’Österreichische Datenschutzbehörde (Autorité de la protection des données, Autriche) (ci-après la « DSB ») au sujet du rejet de la réclamation introduite devant elle par GS, au motif que celui-ci avait préalablement saisi une juridiction concernant la même affaire.

3. Ladite demande de décision préjudicielle s’inscrit dans la suite de l’arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság [(3)], par lequel la Cour a jugé que les voies de recours prévues, d’une part, à l’article 77, paragraphe 1, et à l’article 78, paragraphe 1, du RGPD ainsi que, d’autre part, à l’article 79, paragraphe 1, de ce règlement peuvent être exercées de façon concurrente et indépendante. Cet article 77, paragraphe 1, et cet article 78, paragraphe 1, sont relatifs, respectivement, au droit d’introduire une réclamation auprès d’une autorité de contrôle (4) et au droit à un recours juridictionnel contre la décision rendue par cette autorité. Cet article 79, paragraphe 1, concerne, quant à lui, le droit à un recours juridictionnel contre un responsable du traitement ou un sous-traitant.

4. Le Verwaltungsgerichtshof (Cour administrative, Autriche), qui est la juridiction de renvoi, souhaite obtenir de la Cour des précisions sur l’articulation de ces voies de recours et, plus précisément, sur la possibilité pour l’autorité de contrôle de rejeter une réclamation lorsqu’un recours juridictionnel ayant le même objet a été introduit antérieurement, alors même que cette procédure demeure pendante ou que la décision rendue à l’occasion de celle-ci n’est pas encore définitive.

5. L’enjeu de cette question est important, eu égard à la volonté du législateur de l’Union, d’une part, d’imposer une obligation particulière de diligence à l’autorité de contrôle et, d’autre part, de renforcer le droit à une protection juridictionnelle effective, consacré à l’article 47 de la charte des droits fondamentaux de l’Union européenne (5).

6. Dans les présentes conclusions, je proposerai à la Cour de dire pour droit que l’article 77, paragraphe 1, et l’article 79, paragraphe 1, du RGPD doivent être interprétés en ce sens qu’ils s’opposent à ce qu’une autorité de contrôle, qui est saisie d’une réclamation, conformément à cet article 77, paragraphe 1, puisse rejeter celle-ci au motif qu’un recours juridictionnel, introduit conformément à cet article 79, paragraphe 1, et ayant le même objet, a été formé antérieurement et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive.

7. Je commencerai mon analyse en rappelant le caractère concurrent et indépendant des voies de recours prévues, d’une part, à l’article 77, paragraphe 1, et à l’article 78, paragraphe 1, du RGPD ainsi que, d’autre part, à l’article 79, paragraphe 1, de ce règlement. Je rappellerai également l’obligation des États membres de coordonner ces voies de recours afin d’éviter que des décisions contradictoires soient rendues. Je démontrerai que cette obligation de coordination ne saurait remettre en cause le caractère concurrent et indépendant des voies de recours offertes par le RGPD, en permettant à l’autorité de contrôle de rejeter la réclamation dont elle est saisie plutôt que de suspendre l’examen de celle-ci tant que la procédure juridictionnelle initiée en application de l’article 79, paragraphe 1, du RGPD n’a pas été définitivement clôturée.

II. Le cadre juridique

A. Le droit de l’Union

8. L’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) », prévoit, à son paragraphe 1, sous d) :

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[…]

d) les données à caractère personnel ont fait l’objet d’un traitement illicite. »

9. Au sein du chapitre VI du RGPD, intitulé « Autorités de contrôle indépendantes », la section 1, relative au « [s]tatut d’indépendance », comprend les articles 51 à 54. Aux termes de l’article 51, paragraphe 1, du RGPD :

« Chaque État membre prévoit qu’une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l’application du présent règlement, afin de protéger les libertés et droits fondamentaux des personnes physiques à l’égard du traitement et de faciliter le libre flux des données à caractère personnel au sein de l’Union […] »

10. L’article 52, paragraphe 1, du RGPD est libellé comme suit :

« Chaque autorité de contrôle exerce en toute indépendance les missions et les pouvoirs dont elle est investie conformément au présent règlement. »

11. Au sein du chapitre VI, section 2, du RGPD, intitulée « Compétence, missions et pouvoirs » et qui comprend les articles 55 à 59, l’article 57, paragraphe 1, sous a et f), prévoit :

« Sans préjudice des autres missions prévues au titre du présent règlement, chaque autorité de contrôle, sur son territoire :

a) contrôle l’application du présent règlement et veille au respect de celui-ci ;

[…]

f) traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80, examine l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire. »

12. L’article 58, paragraphe 4, du RGPD dispose :

« L’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif et à une procédure régulière, prévues par le droit de l’Union et le droit des États membres conformément à la Charte. »

13. Aux termes de l’article 77 du RGPD, intitulé « Droit d’introduire une réclamation auprès d’une autorité de contrôle » :

« 1. Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

2. L’autorité de contrôle auprès de laquelle la réclamation a été introduite informe l’auteur de la réclamation de l’état d’avancement et de l’issue de la réclamation, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78. »

14. L’article 78 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre une autorité de contrôle », prévoit, à son paragraphe 1 :

« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »

15. L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », dispose, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16. L’article 81 du RGPD, intitulé « Suspension d’une action », énonce, à ses paragraphes 2 et 3 :

« 2. Lorsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.

3. Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction. »

B. Le droit autrichien

17. L’article 94, paragraphe 1, du Bundes-Verfassungsgesetz (loi constitutionnelle fédérale) est libellé comme suit :

« La justice est indépendante de l’administration dans toutes les instances. »

18. L’article 24 du Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (loi fédérale relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel) (6), du 17 août 1999, dans sa version applicable au litige au principal, intitulé « Réclamations adressées à l’autorité de protection des données », énonce, à ses paragraphes 1 et 4 :

« (1) Toute personne concernée a le droit d’introduire une réclamation auprès de l’autorité chargée de la protection des données si elle estime que le traitement des données à caractère personnel la concernant constitue une violation du RGPD […]

[…]

(4) Le droit au traitement d’une réclamation s’éteint si l’auteur de la réclamation ne l’introduit pas dans un délai d’un an à compter du jour où il a eu connaissance de l’événement qui lui fait grief et, en tout état de cause, dans un délai maximal de trois ans à compter du jour où l’événement s’est prétendument produit. Les réclamations tardives sont rejetées. »

III. Les faits du litige au principal et les questions préjudicielles

19. Le 3 juillet 2017, GS a demandé, avant l’entrée en vigueur du RGPD (7), à D GmbH, société exploitant une plateforme en ligne de recherche de médecins permettant à des tiers de fournir des évaluations et des témoignages sur des médecins, d’effacer des données à caractère personnel. Cette demande d’effacement de données a été rejetée par lettre du 10 juillet 2017.

20. Au mois de novembre 2017, GS a introduit un recours devant une juridiction civile contre D, en invoquant notamment une violation du droit à la protection des données et en demandant l’effacement de ses données à caractère personnel publiées par D ainsi qu’une injonction à s’abstenir de tout nouveau traitement de ces données.

21. Le 22 juin 2018, après l’entrée en vigueur du RGPD, GS a de nouveau sollicité D pour obtenir l’effacement de ses données à caractère personnel figurant sur la plateforme de celle-ci, ce qui a également été refusé par lettre du 6 juillet 2018.

22. Dès lors, le 26 juillet 2018, GS a introduit une réclamation au titre de l’article 77 du RGPD auprès de la DSB, en se fondant, notamment, sur l’article 17 de ce règlement qui consacre le droit à l’effacement. Dans cette réclamation, GS demandait à la DSB de constater la violation de ses droits ainsi que d’obliger D à supprimer toutes les données sur sa plateforme et à s’abstenir de tout traitement ultérieur de ces données.

23. Par décision du 4 janvier 2019, la DSB a rejeté cette demande au motif que la réclamation et l’action civile introduite au mois de novembre 2017 avaient le même objet, à savoir l’effacement des données à caractère personnel de GS de la plateforme de D. Or, il serait, d’un point de vue systématique, contraire au mécanisme de protection juridique du RGPD d’introduire simultanément ou successivement une réclamation devant une autorité de contrôle et un recours juridictionnel sur la même question.

24. Par jugement du 4 décembre 2020, le Bundesverwaltungsgericht (tribunal administratif fédéral, Autriche) a rejeté le recours introduit contre cette décision. Auparavant, par un jugement du 23 juillet 2020, le recours introduit par GS devant une juridiction civile au mois de novembre 2017 avait été rejeté. Ce jugement n’était pas encore définitif le 4 décembre 2020.

25. Dans son jugement, le Bundesverwaltungsgericht (tribunal administratif fédéral) a constaté que le RGPD avait délibérément instauré une double forme de protection juridique et qu’il convenait par conséquent de confirmer la compétence de principe de la DSB pour statuer sur cette réclamation. En revanche, ladite juridiction a considéré que le délai de forclusion d’un an énoncé à l’article 24, paragraphe 4, de la loi sur la protection des données était écoulé. Dans la mesure où GS avait connaissance de la publication de ses données à caractère personnel par D le 3 juillet 2017 et puisque aucun élément de fait essentiel supplémentaire n’a été allégué dans la suite de la procédure, le droit au traitement de sa réclamation introduite au titre de l’article 77 du RGPD était déjà éteint au moment où GS a introduit cette réclamation, le 26 juillet 2018. Le changement de situation juridique, à savoir l’entrée en vigueur du RGPD, n’avait pas pour effet d’interrompre le délai de forclusion. Dès lors que l’introduction tardive d’une réclamation au titre de l’article 77 du RGPD emporte également le rejet de celle-ci, c’est à juste titre, selon le Bundesverwaltungsgericht (tribunal administratif fédéral), que la réclamation de GS a été rejetée.

26. GS et la DSB ont respectivement formé un recours en Revision contre ce jugement devant le Verwaltungsgerichtshof (Cour administrative).

27. Cette juridiction ne partage pas l’avis du Bundesverwaltungsgericht (tribunal administratif fédéral) concernant la forclusion dont serait frappée la réclamation de GS. En effet, étant donné que GS a fait pour la première fois usage du droit à l’effacement, au sens de l’article 17, paragraphe 1, du RGPD, après l’entrée en vigueur de ce règlement, le 22 juin 2018, le délai de l’article 24, paragraphe 4, de la loi sur la protection des données n’a commencé à courir qu’à partir du moment où GS a eu connaissance du courriel de D, du 6 juillet 2018, communiquant son refus d’accéder à la demande d’effacement. Le Verwaltungsgerichtshof (Cour administrative) estime donc que la motivation retenue par le Bundesverwaltungsgericht (tribunal administratif fédéral) n’est pas de nature à justifier le rejet par la DSB de la réclamation de GS, introduite conformément à l’article 77, paragraphe 1, du RGPD.

28. Néanmoins, le Verwaltungsgerichtshof (Cour administrative) examine si le rejet de cette réclamation n’était pas légalement fondé sur d’autres motifs. Après un rappel de ce que la Cour a jugé dans ses arrêts Nemzeti Adatvédelmi és Információszabadság Hatóság et du 7 décembre 2023, SCHUFA Holding (Libération de reliquat de dette) [(8)], la juridiction de renvoi s’interroge, notamment, sur le motif avancé par la DSB, relatif à l’existence d’un recours juridictionnel pendant portant sur la même affaire. En effet, l’article 94, paragraphe 1, de la loi constitutionnelle fédérale dispose que la justice est indépendante de l’administration dans toutes les instances. Ainsi que l’explique la juridiction de renvoi, cet article garantit un principe de séparation de la justice et de l’administration, qui exige qu’une affaire soit attribuée dans son intégralité aux fins de son exécution soit aux juridictions, soit aux autorités administratives. Ledit article s’opposerait donc à ce que des juridictions et des autorités administratives statuent concurremment ou successivement sur une même affaire (9).

29. Dans un premier temps, la juridiction de renvoi se demande si une réclamation portée devant l’autorité de contrôle au titre de l’article 77 du RGPD peut être rejetée dès lors qu’un recours juridictionnel effectif au titre de l’article 79 du RGPD a déjà été introduit antérieurement dans la même affaire et que la procédure y afférente est toujours pendante devant la juridiction saisie.

30. La juridiction de renvoi rappelle que, dans son arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság, la Cour a jugé que les articles 77 à 79 du RGPD permettent un exercice concurrent et indépendant des voies de recours prévues, d’une part, à l’article 77, paragraphe 1, et à l’article 78, paragraphe 1, de ce règlement, ainsi que, d’autre part, à l’article 79, paragraphe 1, dudit règlement et qu’il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation de ces voies de recours afin que soient assurés l’effectivité de la protection des droits garantis par le même règlement, l’application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal, visé à l’article 47 de la Charte.

31. Cette juridiction considère que, afin d’éviter l’existence de décisions contradictoires, ce qui « remettrait en cause l’objectif d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel dans l’ensemble de l’Union » (10), il serait possible d’admettre, en suivant le modèle de l’article 81, paragraphes 2 et 3, du RGPD, que, lorsqu’un même litige est pendant devant les juridictions civiles et les autorités administratives, l’organe saisi en second lieu devrait rejeter la demande.

32. Selon ladite juridiction, bien que la modalité nationale en cause ne coïncide pas entièrement avec les mécanismes prévus dans le RGPD pour les situations impliquant plusieurs États membres, il semble raisonnable de la considérer comme admissible compte tenu de cet objectif.

33. La juridiction de renvoi ajoute que, même si le principe de protection juridictionnelle effective invoqué par la Cour vise de prime abord la situation de la personne concernée par le traitement des données à caractère personnel qui exerce un recours, il convient également de reconnaître au responsable du traitement, en tant que défendeur, un droit à une procédure effective, qui peut être affecté par le fait que deux procédures parallèles peuvent représenter une charge non négligeable, notamment quant aux frais de représentation juridique pour ces deux procédures.

34. Ainsi, le simple fait qu’une affaire soit pendante devant une juridiction, saisie conformément à l’article 79 du RGPD, s’opposerait à ce que cette affaire puisse être valablement traitée par l’autorité de contrôle, agissant au titre de l’article 77 de ce règlement, lorsque celle-ci a été saisie d’une réclamation postérieurement à l’introduction du recours juridictionnel.

35. Cependant, cette juridiction note que, en cas de rejet d’une réclamation au titre de l’article 77 du RGPD uniquement au motif qu’un recours juridictionnel est pendant, il n’existe pas encore de décision au fond sur la violation alléguée de la protection des données à caractère personnel au moment du rejet et il n’y a donc pas encore de risque de décisions contradictoires.

36. Dans un second temps, en cas de réponse négative à sa première question, la juridiction de renvoi souhaite savoir si une réclamation portée devant l’autorité de contrôle au titre de l’article 77 du RGPD peut être rejetée au motif qu’une décision juridictionnelle au fond a déjà été rendue dans une procédure engagée au titre de l’article 79 du RGPD.

37. Selon cette juridiction, le rejet, en raison du principe d’antériorité, d’une réclamation adressée à l’autorité de contrôle à partir du moment où une décision sur le fond a été adoptée dans la procédure juridictionnelle tient compte de l’objectif d’éviter des décisions contradictoires. Toutefois, il serait possible de considérer que le fait de se référer à une décision qui n’est pas définitive n’emporte pas encore, pour la personne concernée, la certitude de l’existence de cette décision.

38. Dans ces conditions, le Verwaltungsgerichtshof (Cour administrative) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Les articles 77 et 79 du [RGPD], à la lumière des constatations de la Cour dans ses arrêts [Nemzeti Adatvédelmi és Információszabadság Hatóság] et [SCHUFA Holding], doivent-ils être interprétés en ce sens que la possibilité, prévue en droit interne, de rejeter une réclamation introduite auprès d’une autorité de contrôle au titre de l’article 77 du RGPD, au motif qu’un recours juridictionnel au titre de l’article 79 du RGPD a déjà été formé antérieurement dans la même affaire et que ce recours est pendant devant la juridiction en question, constitue une modalité admissible de réglementation de l’articulation de ces voies de recours (au sens de la jurisprudence susmentionnée de la Cour) ?

2) En cas de réponse négative à la première question, les articles 77 et 79 du [RGPD], à la lumière des constatations de la Cour dans ses arrêts [Nemzeti Adatvédelmi és Információszabadság Hatóság] et [SCHUFA Holding], doivent-ils être interprétés en ce sens que la possibilité, prévue en droit interne, de rejeter une réclamation introduite auprès d’une autorité de contrôle au titre de l’article 77 du RGPD, au motif qu’une décision au fond a déjà été rendue (même si elle n’est pas encore définitive) dans la procédure concernant le recours juridictionnel au titre de l’article 79 du RGPD introduite dans le cadre de la même affaire, constitue une modalité admissible de réglementation de l’articulation de ces voies de recours (au sens de la jurisprudence susmentionnée de la Cour) ? »

39. GS, D, la DSB, les gouvernements autrichien, italien et hongrois ainsi que la Commission européenne ont déposé des observations écrites.

IV. Analyse

40. Afin de pouvoir statuer sur le recours dont elle est saisie, la juridiction de renvoi souhaite obtenir de la Cour des précisions sur l’articulation entre, d’une part, une réclamation faite auprès d’une autorité de contrôle au titre de l’article 77, paragraphe 1, du RGPD et, d’autre part, un recours juridictionnel introduit en vertu de l’article 79, paragraphe 1, de ce règlement.

41. Par ses questions, que je propose d’examiner conjointement, la juridiction de renvoi demande ainsi, en substance, à la Cour de dire pour droit si une autorité de contrôle, qui est saisie d’une réclamation, conformément à l’article 77, paragraphe 1, du RGPD, peut rejeter celle-ci au motif qu’un recours juridictionnel, introduit conformément à l’article 79, paragraphe 1, de ce règlement et ayant le même objet, a été formé antérieurement (première question) et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive (seconde question).

42. Selon moi, la réponse à ces deux questions devrait être négative. Je note d’ailleurs que, malgré le rejet par la DSB de la réclamation de GS, tant le gouvernement autrichien que cette autorité de contrôle partagent cette opinion.

43. À titre liminaire, il y a lieu de rappeler que le chapitre VIII du RGPD régit, notamment, les voies de recours permettant de protéger les droits de la personne concernée lorsque les données à caractère personnel la concernant ont fait l’objet d’un traitement prétendument contraire aux dispositions de ce règlement. La protection de ces droits peut ainsi être réclamée soit directement par la personne concernée, en application des articles 77 à 79 dudit règlement, soit par une entité habilitée, en présence ou en l’absence d’un mandat à cette fin, au titre de l’article 80 du même règlement (11).

44. En vue d’éclairer la juridiction de renvoi sur le point de savoir si le rejet par l’autorité de contrôle d’une réclamation qui lui est soumise en vertu de l’article 77, paragraphe 1, du RGPD, au motif qu’un recours juridictionnel, introduit conformément à l’article 79, paragraphe 1, de ce règlement et ayant le même objet, a été formé antérieurement et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive, constitue une modalité admissible d’articulation des voies recours prévues par ledit règlement, il importe de rappeler que, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (12).

45. S’agissant du libellé des dispositions pertinentes du RGPD, il y a lieu de rappeler, tout d’abord, que l’article 77, paragraphe 1, de ce règlement précise que c’est « [s]ans préjudice de tout autre recours administratif ou juridictionnel » que toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle. Ensuite, aux termes de l’article 78, paragraphe 1, dudit règlement, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne « [s]ans préjudice de tout autre recours administratif ou extrajudiciaire ». Enfin, l’article 79, paragraphe 1, du même règlement garantit à chaque personne concernée le droit à un recours juridictionnel effectif « [s]ans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77 ».

46. Selon la Cour, ces dispositions du RGPD offrent différentes voies de recours aux personnes invoquant une violation de ce règlement, étant entendu que chacune de ces voies de recours doit pouvoir être exercée « sans préjudice » des autres (13). Ainsi, le RGPD ne prévoit pas de compétence prioritaire ou exclusive ni aucune règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions qui y sont visées quant à l’existence d’une violation des droits conférés par ce règlement (14). Autrement dit, le législateur de l’Union a souhaité mettre à la disposition des personnes concernées un système complet de voies de recours, dans lequel le droit à un recours juridictionnel et la possibilité d’exercer une voie de recours administrative ou extrajudiciaire coexistent de manière autonome, sans que l’une soit subsidiaire par rapport à l’autre.

47. Le recours prévu à l’article 78, paragraphe 1, du RGPD, dont l’objet est l’examen de la légalité de la décision d’une autorité de contrôle adoptée sur le fondement de l’article 77 de ce règlement, et celui prévu à l’article 79, paragraphe 1, dudit règlement peuvent donc être exercés de manière concurrente et indépendante (15). Il en va de même des réclamations qui sont soumises aux autorités de contrôle conformément à l’article 77, paragraphe 1, du RGPD.

48. Une telle constatation est confirmée par le contexte dans lequel s’inscrivent les dispositions pertinentes du RGPD (16) et par les objectifs poursuivis par ce règlement. À cet égard, il ressort notamment de son considérant 10 que celui-ci vise à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union. Le considérant 11 dudit règlement énonce, en outre, qu’une protection effective de ces données exige de renforcer les droits des personnes concernées. Ainsi, le choix fait par le législateur de l’Union de laisser aux personnes concernées la possibilité d’exercer de façon concurrente et indépendante les voies de recours prévues, d’une part, à l’article 77, paragraphe 1, et à l’article 78, paragraphe 1, du RGPD ainsi que, d’autre part, à l’article 79, paragraphe 1, de ce règlement s’inscrit dans l’objectif dudit règlement (17). La Cour a également souligné que la mise à disposition de plusieurs voies de recours renforce l’objectif énoncé au considérant 141 du RGPD de garantir à toute personne concernée estimant que les droits que lui confère ce règlement sont violés de disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte (18). J’ajoute qu’une telle interprétation est aussi confirmée au regard du processus législatif ayant conduit à l’adoption du RGPD. En effet, au sein du Conseil de l’Union européenne, la République d’Autriche a expliqué son refus de voter en faveur de ce texte, notamment, au regard du parallélisme des voies de recours prévu par ce règlement(19). Pourtant, un tel parallélisme des voies de recours a été maintenu dans la version finale dudit règlement.

49. Au vu de ce que la Cour a ainsi jugé dans son arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság, je considère que le fait d’admettre qu’une autorité de contrôle, qui est saisie d’une réclamation, conformément à l’article 77, paragraphe 1, du RGPD, puisse rejeter celle-ci au motif qu’un recours juridictionnel, introduit conformément à l’article 79, paragraphe 1, de ce règlement et ayant le même objet, a été formé antérieurement et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive porterait atteinte à la possibilité offerte par le RGPD aux personnes concernées d’introduire des recours parallèles au sujet d’un même traitement de données à caractère personnel.

50. Certes, j’ai eu l’occasion de souligner dans les conclusions que j’ai présentées dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság que cette possibilité peut présenter un inconvénient, à savoir l’insécurité juridique que l’apparition de décisions contradictoires au sein d’un État membre est susceptible de générer. Or, si le risque de décisions contradictoires entre les autorités de contrôle ou les juridictions de différents États membres a été appréhendé par le législateur de l’Union dans le RGPD, tel n’est pas le cas lorsque de telles décisions sont adoptées au sein d’un même État membre (20). Dans ces conditions, il incombe à chaque État membre de mettre en place les outils procéduraux permettant d’éviter que des décisions contradictoires soient adoptées au sujet d’un même traitement de données à caractère personnel (21).

51. Dans l’affaire ayant donné lieu à l’arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság, l’hypothèse soumise à la Cour était celle dans laquelle la juridiction saisie d’un recours introduit sur le fondement de l’article 78, paragraphe 1, du RGPD pouvait être amenée à adopter une décision en contradiction avec la décision ayant acquis un caractère définitif qui avait été adoptée antérieurement par la juridiction saisie d’un recours introduit sur le fondement de l’article 79, paragraphe 1, de ce règlement.

52. Dans cette hypothèse, la Cour a souligné, d’une part, que l’existence de deux décisions contradictoires remettrait en cause l’objectif d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union, énoncé au considérant 10 du RGPD (22). En effet, selon la Cour, la protection accordée en vertu d’une décision rendue à la suite d’un recours introduit sur le fondement de l’article 79, paragraphe 1, de ce règlement, constatant une violation des dispositions de ce dernier, ne serait pas en cohérence avec une seconde décision juridictionnelle résultant d’un recours introduit sur le fondement de l’article 78, paragraphe 1, dudit règlement, ayant une issue opposée (23). D’autre part, il en résulterait un affaiblissement de la protection des personnes physiques à l’égard du traitement de données à caractère personnel les concernant, dès lors qu’une telle incohérence créerait une situation d’insécurité juridique (24).

53. Il importe donc que les États membres fassent en sorte que l’existence de voies de recours pouvant être exercées parallèlement par les personnes concernées ne remette pas en cause l’effectivité de la protection des droits que le RGPD confère à ces dernières. Il revient aux États membres de choisir quels mécanismes procéduraux leur paraissent les mieux adaptés afin de permettre une articulation harmonieuse des voies de recours prévues aux articles 77 à 79 de ce règlement.

54. À cet égard, la Cour a jugé que, en l’absence de réglementation de l’Union en la matière, il appartient à chaque État membre, en vertu du principe d’autonomie procédurale des États membres, de régler les modalités des procédures administrative et juridictionnelle destinées à assurer un niveau élevé de sauvegarde des droits que les justiciables tirent du droit de l’Union (25). Toutefois, les modalités de mise en œuvre des voies de recours concurrentes et indépendantes ne devraient pas remettre en cause l’effet utile et la protection effective des droits garantis par le RGPD (26). En effet, ces modalités ne doivent pas être moins favorables que celles concernant des recours similaires prévus pour la protection des droits tirés de l’ordre juridique interne (principe d’équivalence) ni rendre en pratique impossible ou excessivement difficile l’exercice des droits conférés par l’ordre juridique de l’Union (principe d’effectivité) (27). La Cour a également souligné que les États membres doivent s’assurer que les modalités concrètes d’exercice des voies de recours prévues à l’article 77, paragraphe 1, à l’article 78, paragraphe 1, et à l’article 79, paragraphe 1, de ce règlement répondent effectivement aux exigences découlant du droit à un recours effectif consacré à l’article 47 de la Charte (28).

55. Dans les conclusions que j’ai présentées dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság (29), j’ai notamment indiqué que les États membres pourraient prévoir la possibilité ou l’obligation pour une juridiction qui est saisie d’un recours en vertu de l’article 79, paragraphe 1, du RGPD, alors qu’une procédure de réclamation au titre de l’article 77, paragraphe 1, de ce règlement ou qu’un recours juridictionnel au titre de l’article 78, paragraphe 1, dudit règlement est en cours, de suspendre la procédure pendante devant elle et de surseoir à statuer jusqu’à ce qu’une décision soit prise dans l’une ou l’autre de ces procédures (30). Ainsi, j’ai indiqué que la suspension d’une procédure peut, selon moi, constituer une solution afin d’éviter que soient adoptées des décisions contradictoires susceptibles de porter atteinte à la sécurité juridique (31).

56. Cette solution me paraît être particulièrement indiquée dans le contexte de la présente affaire. Ainsi, une autorité de contrôle, qui est saisie d’une réclamation, conformément à l’article 77, paragraphe 1, du RGPD, devrait être autorisée à suspendre l’examen de celle-ci lorsqu’un recours juridictionnel, introduit conformément à l’article 79, paragraphe 1, de ce règlement et ayant le même objet, a été introduit antérieurement et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive.

57. En revanche, le rejet d’une réclamation dans un tel contexte me paraît contraire au principe d’effectivité, dans la mesure où cette modalité d’articulation des voies de recours est de nature à remettre en cause la protection effective des droits garantis par le RGPD. En effet, un tel rejet me paraît contraire au principe même d’un système complet de voies de recours pouvant être exercées de manière concurrente et indépendante. De plus, le rejet d’une réclamation ne constitue pas nécessairement une mesure appropriée afin d’éviter l’adoption de décisions contradictoires.

58. À cet égard, il importe de souligner que, lorsque l’autorité de contrôle rejette une réclamation au motif qu’un recours juridictionnel formé conformément à l’article 79, paragraphe 1, du RGPD est encore pendant, elle ne peut pas encore être certaine qu’une décision au fond sera rendue dans le cadre de ce recours. Ainsi, celui-ci peut être rejeté pour un motif procédural, tel qu’une irrecevabilité, sans être tranché sur le fond.

59. Par ailleurs, même lorsque ledit recours donne lieu, comme en l’espèce, à une décision sur le fond, celle-ci est susceptible d’être remise en cause par le jeu des voies de recours internes. C’est pourquoi, à la différence de ce que la Commission semble considérer dans ses observations (32), le caractère définitif ou non de la décision juridictionnelle me paraît avoir une importance. À mon avis, l’autorité de contrôle ne peut pas rejeter d’emblée une réclamation au motif qu’un recours juridictionnel formé conformément à l’article 79, paragraphe 1, du RGPD a débouché sur une décision, aussi longtemps que celle-ci n’a pas acquis un caractère définitif et qu’elle peut donc encore être remise en cause.

60. En somme, tant que la contradiction entre la décision prise par une autorité de contrôle saisie au titre de l’article 77, paragraphe 1, du RGPD et la décision non encore définitive rendue par une juridiction saisie conformément à l’article 79, paragraphe 1, de ce règlement est seulement hypothétique, cette autorité ne saurait rejeter la réclamation qui lui a été soumise en se fondant sur ce risque de contradiction.

61. À l’appui de cette interprétation, il convient d’insister sur l’importance du droit d’introduire une réclamation devant une autorité de contrôle, consacré à l’article 77, paragraphe 1, du RGPD, afin d’assurer une protection effective des droits garantis par ce règlement. Cette protection résulte, en particulier, des pouvoirs étendus conférés par ledit règlement à l’autorité de contrôle afin d’apprécier l’existence d’un traitement illégal des données à caractère personnel de la personne concernée et de prendre les mesures adéquates afin d’y remédier.

62. Dans ce contexte, je relève que l’article 51, paragraphe 1, du RGPD impose aux États membres de prévoir une ou plusieurs autorités publiques indépendantes qui sont chargées de surveiller l’application de ce règlement. L’institution de telles autorités, qui est également prévue par le droit primaire de l’Union, à savoir l’article 8, paragraphe 3, de la Charte et l’article 16, paragraphe 2, TFUE, constitue un élément essentiel du respect de la protection des personnes à l’égard du traitement des données à caractère personnel (33). Ces autorités ont pour mission principale, en vertu de l’article 51, paragraphes 1 et 2, ainsi que de l’article 57, paragraphe 1, sous a) et g), du RGPD, de contrôler l’application de ce règlement et de veiller à son respect, tout en contribuant à son application cohérente dans l’Union, et ce afin de protéger les libertés et les droits fondamentaux des personnes physiques à l’égard du traitement de leurs données à caractère personnel et de faciliter le libre flux de telles données au sein de l’Union (34).

63. En particulier, en vertu de l’article 57, paragraphe 1, sous f), du RGPD, chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, de ce règlement, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire. L’autorité de contrôle doit procéder au traitement d’une telle réclamation avec toute la diligence requise (35). Ainsi, la Cour a souligné que, bien que le choix du moyen approprié et nécessaire relève de l’autorité de contrôle et que celle-ci doive opérer ce choix en prenant en considération toutes les circonstances du traitement de données à caractère personnel en cause, cette autorité n’en est pas moins tenue de s’acquitter avec toute la diligence requise de sa mission consistant à veiller au plein respect du RGPD (36).

64. Afin de contrôler l’application de ce règlement et de veiller à son respect, les autorités de contrôle disposent des différents pouvoirs qui leur sont conférés en vertu de l’article 58 dudit règlement. Ainsi, l’article 58, paragraphe 1, du RGPD investit ces autorités d’importants pouvoirs d’enquête. Lorsqu’une telle autorité constate, à l’issue de son enquête, une violation des dispositions de ce règlement, elle est tenue de réagir de manière appropriée afin de remédier à l’insuffisance constatée. À cet effet, l’article 58, paragraphe 2, dudit règlement énumère les différentes mesures correctrices que l’autorité de contrôle peut adopter (37).

65. La Cour en a déduit que la procédure de réclamation, qui ne s’apparente pas à celle d’une pétition, est conçue comme un mécanisme apte à sauvegarder de manière efficace les droits et les intérêts des personnes concernées (38). Dans cette perspective, l’autorité de contrôle est tenue d’intervenir lorsque l’adoption de l’une ou plusieurs des mesures correctrices prévues à l’article 58, paragraphe 2, du RGPD est, compte tenu de toutes les circonstances du cas concret, appropriée, nécessaire et proportionnée pour remédier à l’insuffisance constatée et garantir le plein respect de ce règlement (39).

66. À mon avis, il serait contraire à cet objectif et à l’obligation de diligence qui pèse sur l’autorité de contrôle de priver d’emblée une personne concernée du bénéfice d’un tel mécanisme en permettant à cette autorité de rejeter sa réclamation au motif qu’un recours juridictionnel, introduit conformément à l’article 79, paragraphe 1, de ce règlement et ayant le même objet, a été formé antérieurement et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive. En revanche, la suspension de l’examen de cette réclamation dans l’attente d’une décision juridictionnelle ayant acquis un caractère définitif me paraît conforme tant à l’exigence d’assurer une protection effective des droits garantis par le RGPD qu’à celle d’éviter des décisions contradictoires au sein d’un même État membre.

67. Certes, il est vrai que le rejet, pour un tel motif, de la réclamation introduite auprès de l’autorité de contrôle conformément à l’article 77, paragraphe 1, du RGPD ne fait pas nécessairement obstacle à ce que la personne concernée puisse introduire une nouvelle réclamation auprès de cette autorité après que la procédure juridictionnelle a été définitivement clôturée pour un motif procédural ou si la personne s’est désistée de son recours juridictionnel.

68. Cependant, l’introduction d’une nouvelle réclamation peut se révéler impossible si le droit national subordonne celle-ci, comme c’est le cas en Autriche, au respect d’un délai de recevabilité et que ce dernier est dépassé. Dans une telle hypothèse, la personne concernée pourrait se trouver privée de toute protection effective si son recours juridictionnel était rejeté pour un motif procédural sans être tranché sur le fond ou bien si elle souhaitait se désister de la procédure juridictionnelle.

69. Par ailleurs et de façon plus générale, une telle solution, qui fait peser sur la personne concernée la responsabilité de saisir à nouveau l’autorité de contrôle après le rejet initial de sa réclamation me paraît contraire à l’obligation de diligence qui pèse sur cette autorité. En effet, cette obligation implique, comme je l’ai indiqué précédemment, que ladite autorité procède au traitement d’une réclamation introduite devant elle avec toute la diligence requise. Ladite obligation requiert, en particulier, que, lorsque l’autorité de contrôle est saisie d’une réclamation et qu’elle est informée de l’existence d’une procédure juridictionnelle initiée conformément à l’article 79, paragraphe 1, du RGPD et portant sur les mêmes faits, cette autorité soit attentive, dans le cadre de l’examen de cette réclamation, à la décision qui clôturera définitivement cette procédure. Dans l’intervalle, cet examen devrait être suspendu.

V. Conclusion

70. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Verwaltungsgerichtshof (Cour administrative, Autriche) de la manière suivante :

L’article 77, paragraphe 1, et l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

ils s’opposent à ce qu’une autorité de contrôle, qui est saisie d’une réclamation, conformément à cet article 77, paragraphe 1, puisse rejeter celle-ci au motif qu’un recours juridictionnel, introduit conformément à cet article 79, paragraphe 1, et ayant le même objet, a été formé antérieurement et alors que la décision rendue dans le cadre de ce recours n’est pas encore définitive.

1 Langue originale : le français.

2 JO 2016, L 119, p. 1, ci-après le « RGPD ».

3 C-132/21, ci-après l’« arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság », EU:C:2023:2.

4 Aux termes de l’article 4, point 21, du RGPD, une autorité de contrôle est « une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51 [de ce règlement] ».

5 Ci-après la « Charte ».

6 BGBl. I, 165/1999, ci-après la « loi sur la protection des données ».

7 Cette demande était fondée sur la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

8 C-26/22 et C-64/22, ci-après l’« arrêt SCHUFA Holding », EU:C:2023:958.

9 La juridiction de renvoi se réfère à l’arrêt du Verfassungsgerichtshof (Cour constitutionnelle) du 14 octobre 1970, G 20/70.

10 La juridiction de renvoi cite l’arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 54).

11 Voir, notamment, arrêt du 4 octobre 2024, Lindenapotheke (C-21/23, EU:C:2024:846, point 47 et jurisprudence citée).

12 Voir, notamment, arrêt du 4 octobre 2024, Lindenapotheke (C-21/23, EU:C:2024:846, point 52 et jurisprudence citée).

13 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 34). Voir, également, concernant la possibilité pour le concurrent d’une entreprise d’introduire un recours devant les juridictions civiles contre cette entreprise sur le fondement de l’interdiction des pratiques commerciales déloyales, en raison de la violation alléguée par ladite entreprise d’obligations prévues par le RGPD, arrêt du 4 octobre 2024, Lindenapotheke (C-21/23, EU:C:2024:846, point 53).

14 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 35).

15 Voir arrêts Nemzeti Adatvédelmi és Információszabadság Hatóság (point 35 et dispositif) ; SCHUFA Holding (point 66), ainsi que du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, C-316/23 et C-332/23, EU:C:2025:303, point 128).

16 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (points 36 à 41).

17 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 42).

18 Voir arrêts Nemzeti Adatvédelmi és Információszabadság Hatóság (point 44) et SCHUFA Holding (point 66). Dans ce dernier arrêt, la Cour en a déduit que l’existence du droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant, prévu à l’article 79, paragraphe 1, du RGPD, est sans incidence sur l’étendue du contrôle juridictionnel exercé, dans le cadre d’un recours formé au titre de l’article 78, paragraphe 1, de ce règlement, sur une décision sur réclamation adoptée par une autorité de contrôle (point 67 dudit arrêt).

19 Voir résultat du vote concernant l’adoption du RGPD dans le document 7920/16 du Conseil du 14 avril 2016, disponible à l’adresse Internet suivante : https://data.consilium.europa.eu/doc/document/ST-7920-2016-INIT/fr/pdf (p. 7). Cette interprétation est partagée par l’Oberster Gerichtshof (Cour suprême, Autriche), ainsi qu’en témoigne son arrêt du 23 mai 2019, 6Ob91/19d (point 4.5.).

20 Voir mes conclusions dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság (C-132/21, EU:C:2022:661, point 57).

21 Voir mes conclusions dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság (C-132/21, EU:C:2022:661, point 58).

22 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 54).

23 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 55).

24 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 56).

25 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 45).

26 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 47).

27 Voir arrêt Nemzeti Adatvédelmi és Információszabadság Hatóság (point 48).

28 Voir, notamment, arrêt du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, C-316/23 et C-332/23, EU:C:2025:303, point 136 et jurisprudence citée).

29 C-132/21, EU:C:2022:661.

30 Voir mes conclusions dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság (C-132/21, EU:C:2022:661, point 69).

31 Voir mes conclusions dans l’affaire Nemzeti Adatvédelmi és Információszabadság Hatóság (C-132/21, EU:C:2022:661, point 70).

32 Voir observations de la Commission (point 49).

33 Voir, notamment, arrêt du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, C-316/23 et C-332/23, EU:C:2025:303, point 119 ainsi que jurisprudence citée).

34 Voir, notamment, arrêt du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, C-316/23 et C-332/23, EU:C:2025:303, point 120 et jurisprudence citée).

35 Voir, notamment, arrêts SCHUFA Holding (point 56 et jurisprudence citée) ainsi que du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C-768/21, EU:C:2024:785, point 32).

36 Voir arrêts du 16 juillet 2020, Facebook Ireland et Schrems (C-311/18, EU:C:2020:559, point 112), et du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C-768/21, EU:C:2024:785, point 37). Dans ce dernier arrêt, la Cour a également indiqué que la marge d’appréciation dont dispose l’autorité de contrôle est limitée par la nécessité de garantir un niveau cohérent et élevé de protection des données à caractère personnel par une application rigoureuse des règles, ainsi qu’il ressort des considérants 7 et 10 du RGPD (point 38).

37 Voir, notamment, arrêt SCHUFA Holding (point 57 et jurisprudence citée).

38 Voir arrêt SCHUFA Holding (point 58).

39 Voir arrêts du 26 septembre 2024, Land Hessen (Obligation d’agir de l’autorité de protection des données) (C-768/21, EU:C:2024:785, point 42), et du 30 avril 2025, Inspektorat kam Visshia sadeben savet (C-313/23, C-316/23 et C-332/23, EU:C:2025:303, point 132).