Édition provisoire

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. DEAN SPIELMANN

présentées le 16 octobre 2025 (1)

Affaire C-484/24

NTH Haustechnik GmbH

contre

EM

[demande de décision préjudicielle formée par le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe, Allemagne)]

« Renvoi préjudiciel – Protection des données personnelles – Licéité du traitement de données dans le cadre d’une procédure judiciaire en matière de travail – Données collectées par l’employeur en vue de prouver un manquement grave de l’employé à ses obligations – Traitement d’éléments de preuve obtenus de manière illégale – Principe de limitation de la conservation – Autonomie procédurale des États membres »

Introduction

1. La question préjudicielle qui fait l’objet des présentes conclusions ciblées, conformément à la demande de la Cour, porte sur l’interprétation de l’article 5, paragraphe 1, sous e), du règlement (UE) 2016/679 (2). La Cour est en substance appelée à se pencher sur la question de savoir si et dans quelle mesure des données à caractère personnel produites en tant qu’éléments de preuve dans le cadre d’une procédure judiciaire nationale, qui ont été obtenues par le recours à d’autres données à caractère personnel initialement collectées ou conservées en méconnaissance du principe de limitation de la conservation, peuvent être traitées par le juge national de manière licite.

2. La demande de décision préjudicielle a été présentée par le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe, Allemagne) dans le cadre d’un litige opposant la NTH Haustechnik GmbH (ci-après la « NTH ») à son ancienne employée (ci-après la « défenderesse »), au sujet d’une action en dommages et intérêts aux fins de la réparation d’un préjudice lié à la vente en ligne non autorisée, par la défenderesse, de biens appartenant à la NTH.

Le cadre juridique

Le droit de l’Union

3. L’article 5, paragraphe 1, du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », dispose :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[…]

e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;

[…] »

4. L’article 6, du RGPD, intitulé « Licéité du traitement », fait état de ce que :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

[…]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

[…]

2. Les États membres peuvent maintenir ou introduire des dispositions plus spécifiques pour adapter l’application des règles du présent règlement pour ce qui est du traitement dans le but de respecter le paragraphe 1, points c) et e), en déterminant plus précisément les exigences spécifiques applicables au traitement ainsi que d’autres mesures visant à garantir un traitement licite et loyal, y compris dans d’autres situations particulières de traitement comme le prévoit le chapitre IX.

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement, entre autres : les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX. Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

[…] »

5. L’article 23 du RGPD, intitulé « Limitations », prévoit :

« 1. Le droit de l’Union ou le droit de l’État membre auquel le responsable du traitement ou le sous-traitant est soumis peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits prévus aux articles 12 à 22 et à l’article 34, ainsi qu’à l’article 5 dans la mesure où les dispositions du droit en question correspondent aux droits et obligations prévus aux articles 12 à 22, lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir :

[…]

j) l’exécution des demandes de droit civil.

[…] »

Le droit allemand

Le code de procédure civile

6. L’article 138 de la Zivilprozessordnung (code de procédure civile) du 30 janvier 1877 (3), intitulé « Obligation d’expliquer les faits ; obligation de vérité », dispose, dans sa version applicable au litige au principal :

« (1) Les parties doivent fournir leurs explications sur les circonstances de fait de manière complète et dans le respect de la vérité.

(2) Chaque partie doit s’expliquer sur les faits allégués par l’adversaire.

(3) Les faits qui ne sont pas expressément contestés sont considérés comme acceptés lorsqu’il ne résulte pas des autres déclarations de la partie qu’elle avait l’intention de les contester.

(4) Une partie ne peut arguer de son ignorance que pour des actes qui ne sont pas de son propre fait et dont elle n’a pas eu conscience. »

La loi fédérale sur la protection des données

7. L’article 3 de la Bundesdatenschutzgesetz (loi fédérale sur la protection des données) du 30 juin 2017 (4), intitulé « Traitement des données à caractère personnel par les autorités publiques », dans sa version applicable au litige au principal, énonce :

« Le traitement de données à caractère personnel par un organisme public est autorisé s’il est nécessaire à l’exécution d’une mission relevant de la compétence du responsable du traitement ou de l’exercice de l’autorité publique dont celui-ci est investi. »

Le litige au principal, les questions préjudicielles et la procédure devant la Cour

8. La NTH est une société qui exploite une entreprise de chauffage et de climatisation. La défenderesse était une employée de la société et était mariée à son gérant. Le fils de la défenderesse et du gérant de la NTH est également un employé de cette société.

9. La relation de travail entre la NTH et la défenderesse a pris fin le 31 octobre 2019 et les époux se sont séparés le 26 juin 2022. Jusqu’à la séparation, la défenderesse a cependant continué à avoir la possibilité d’accéder aux locaux de la société et d’utiliser les ordinateurs qui s’y trouvaient. La question de savoir si elle ne l’a fait qu’à des fins privées ou si elle a continué à exercer des activités pour la NTH est litigieuse.

10. Immédiatement après la séparation des époux, la NTH a établi que la défenderesse avait vendu pour son propre compte des actifs professionnels de la société via la plateforme de vente en ligne eBay, et lui réclame à ce titre des dommages-intérêts.

11. La juridiction de renvoi indique que la NTH a eu connaissance des opérations de vente de la défenderesse grâce à un accès informatisé au compte privé eBay de la défenderesse. Pour ce faire, le fils de la défenderesse et du gérant de la NTH aurait utilisé l’identifiant et le mot de passe du compte eBay de la défenderesse. La question de savoir par quel moyen il en a eu connaissance est litigieuse.

12. À cet égard, la NTH affirme avoir obtenu les informations relatives à l’utilisation de la plateforme de vente en ligne eBay par la défenderesse en consultant l’historique de navigation de l’ordinateur professionnel de la société utilisé par cette dernière, et avoir eu connaissance du mot de passe en consultant un « dossier familial » créé sur le serveur de la NTH, dans lequel le mot de passe était enregistré. La défenderesse affirme en revanche ne pas avoir conservé son mot de passe d’utilisatrice eBay dans les espaces de stockage informatique de l’entreprise et soutient que la NTH a utilisé le téléphone portable, qui était enregistré au nom de la société mais que la défenderesse utilisait, pour modifier, sur la plateforme eBay, le mot de passe du compte privé de la défenderesse et y accéder.

13. La juridiction de renvoi considère que la collecte et la conservation des données à laquelle la NTH a procédé, et par laquelle elle a eu connaissance des ventes effectuées par la défenderesse sur la plateforme de vente en ligne eBay, ont pu être réalisées illégalement. Elle considère en outre que sa propre activité juridictionnelle et, le cas échéant, l’utilisation des données collectées par la NTH aux fins de prendre sa décision constituent un traitement de données au sens du RGPD. À ce titre, la juridiction de renvoi s’interroge en substance sur les conditions qui doivent être fixées par la réglementation nationale pour des actes de traitement de données effectués dans le cadre d’une fonction juridictionnelle, ainsi que sur les bases juridiques et les critères de fond qui doivent régir de tels actes.

14. C’est dans ces conditions que le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Lorsqu’un acte autonome de traitement de données est effectué dans le cadre d’une fonction juridictionnelle et relève de l’article 6, paragraphe 1, sous e), et de l’article 6, paragraphe 3, du [RGPD], les dispositions de l’article 92 du Grundgesetz (loi fondamentale), des articles 138, 286, 355 et suivants d[u] code de procédure civile répondent-elles au critère de précision découlant de l’article 8, paragraphe 2, et de l’article 52, paragraphe 1, de la [c]harte des droits fondamentaux de l’Union européenne [(5)], ainsi que de l’article 5, paragraphe 1, sous c), du [RGPD], dans la mesure où le traitement effectué dans le cadre de la fonction juridictionnelle emporte pour une partie ou pour un tiers des atteintes aux droits fondamentaux ?

2) a) Lors du traitement de données qui sont notamment à caractère personnel, une juridiction nationale peut-elle considérer que l’article 17, paragraphe 3, sous e), du RGPD l’autorise à procéder à ce traitement, ou bien les articles 6 et 9 du RGPD constituent-ils la base exclusive d’un traitement effectué dans le cadre de la fonction juridictionnelle ?

b) À supposer que l’article 17, paragraphe 3, sous e), du RGPD soit en principe de nature à constituer une base juridique pour des actes de traitement effectués dans le cadre de la fonction juridictionnelle :

aa) En va-t-il également ainsi lorsque la collecte initiale de ces données par une partie au procès ou un tiers n’a pas été effectuée de manière licite ?

bb) En vertu du principe d’application générale voulant que les données soient traitées de manière loyale [article 5, paragraphe 1, sous a), du RGPD], le traitement de données initialement collectées de manière illicite conduit-il, en droit dérivé, à une limitation du traitement effectué dans le cadre de la fonction juridictionnelle, de telle sorte que l’article 17, paragraphe 3, sous e), du RGPD ne s’applique que dans certaines conditions ou sous certaines limites ?

cc) L’article 17, paragraphe 3, sous e), du RGPD doit-il être compris en ce sens qu’une interdiction de l’utilisation dans le cadre de la fonction juridictionnelle de données obtenues initialement de manière illicite est toujours exclue, autrement dit qu’il incombe donc toujours à la juridiction d’utiliser ces données, lorsque la collecte initiale de données n’a pas été effectuée secrètement et que les données sont utilisées pour prouver un manquement intentionnel à des obligations ?

3) Abstraction faite du point de savoir si le traitement de données effectué dans le cadre de la fonction juridictionnelle relève de l’article 17, paragraphe 3, sous e), du RGPD, ou de l’article 6, paragraphe 1, sous c) ou e), de l’article 6, paragraphe 3, de l’article 9 du RGPD, ou d’autres dispositions du droit de l’Union :

a) Faut-il considérer que, en ce qui concerne notamment le traitement de données qui ont été initialement collectées ou conservées de manière illicite, les principes de nécessité et de minimisation des données que consacrent l’article 52, paragraphe 1, deuxième phrase, de la [Charte] et l’article 5, paragraphe 1, sous a), du RGPD impliquent la nécessité, pour les juridictions, de procéder à un examen de la proportionnalité et à une mise en balance de nature exhaustive ?

b) Quelles sont les incidences que l’article 5, paragraphe 1, sous e), du RGPD, en vertu duquel les données à caractère personnel ne peuvent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, exerce sur les actes postérieurs de traitement des données effectués dans le cadre de la fonction juridictionnelle, notamment lorsque

– la collecte initiale de données avait d’autres finalités, ou

– que la collecte initiale et illicite des données remonte à une époque lointaine, ou

– qu’une conservation illicite a perduré pendant de longues périodes, ou

– que la collecte illicite de données concerne des données qui ont été conservées à une date remontant loin dans le passé, voire de manière illicite, ou

– que l’organisme ou la personne traitant ou collectant les données s’est engagé unilatéralement, ou en vertu d’un contrat négocié individuellement ou encore par la voie d’une convention collective, à les effacer dans un délai déterminé, mais qu’il n’a pas procédé à cet effacement ?

c) Le droit de l’Union, en particulier l’article 8 de la [Charte], l’article 6, paragraphe 1, sous c), ou e), l’article 6, paragraphe 3, et l’article 9 du RGPD, ont-ils pour conséquence que le juge national ne peut utiliser des éléments de preuve obtenus en violation des droits de la personnalité que si la partie sur laquelle pèse la charge de la preuve a un intérêt légitime d’une portée supérieure à celui de simplement prouver les éléments avancés, ou le droit de l’Union ne fixe-t-il à cet égard aucune règle, de sorte qu’il appartient à l’ordre juridique national d’adopter des dispositions à cet égard ?

d) Étant entendu que l’article 47, paragraphe 2, de la [Charte] garantit le droit à une protection juridictionnelle effective, et notamment à un procès équitable, lequel droit veut que les parties à une procédure civile aient en principe la possibilité de motiver suffisamment la finalité de la protection juridictionnelle qu’elles recherchent et d’en apporter la preuve, cette disposition a-t-elle pour conséquence que le traitement, effectué dans le cadre d’une fonction juridictionnelle, de données à caractère personnel du salarié requérant que l’employeur a collectées de manière illicite ne peut apparaître inapproprié et disproportionné au sens strict que s’il s’avère que la collecte de données constitue, au regard du droit de l’Union, une violation grave des articles 7 et 8 de la [Charte], et que d’autres sanctions éventuelles pour l’employeur (par exemple, le droit à réparation en vertu de l’article 82 du RGPD et l’imposition d’amendes en vertu de l’article 83 du RGPD) seraient tout à fait insuffisantes, ou bien faut-il considérer que d’autres violations du droit de la protection des données, de moindre gravité, commises lors de la collecte initiale des données, sont en elles-mêmes suffisantes à justifier un caractère inapproprié et disproportionné ?

e) En décidant s’il utilise, dans le cadre de sa fonction juridictionnelle, les données initialement collectées par une partie ou un tiers, le juge doit-il tenir compte du point de savoir si la personne ayant collecté les données a respecté les obligations d’information qui lui incombent en vertu de l’article 13 du RGPD ? Si oui : dans quelles conditions et selon quels critères le juge doit-il en tenir compte ?

f) L’obligation qu’a le juge de respecter le RGPD et la [Charte] lorsqu’il traite des données à caractère personnel s’étend-elle également aux données à caractère personnel de tiers ? De quelle façon une éventuelle violation du droit à la protection des données commise à l’égard de tiers lors de la collecte initiale de données exerce-t-elle une incidence sur le traitement ultérieur des données effectué par le juge dans le cadre de sa fonction juridictionnelle lors d’un litige entre deux parties ? Une partie peut-elle se prévaloir d’une violation qui n’a pas été commise à son égard, mais à l’égard de tiers, ou n’en a-t-elle pas la possibilité ? »

15. Des observations écrites ont été présentées par la Commission européenne, les gouvernements allemand, hongrois et finlandais. La Commission et le gouvernement allemand ont présenté leurs observations orales au cours de l’audience qui s’est tenue le 2 juillet 2025.

Analyse

Observations liminaires

16. Par la troisième question préjudicielle, sous b), qui fait l’objet des présentes conclusions ciblées, la juridiction de renvoi s’interroge en substance sur les incidences que des traitements de données contraires au principe de limitation de la conservation, établi à l’article 5, paragraphe 1, sous e), du RGPD, ont sur la licéité des « actes postérieurs de traitement » (6), dans le cadre de son activité juridictionnelle, d’autres données qui n’ont pu être obtenues qu’en ayant recours à ces premières données.

17. Pour la compréhension de l’affaire, il me paraît utile de préciser qu’il convient de faire la distinction entre deux types de données à caractère personnel en cause en l’espèce. D’une part, les données relatives à la défenderesse stockées sur le serveur de la NTH et dans l’historique de navigation de l’ordinateur de la société utilisé par la défenderesse, voire dans le téléphone de la société mis à disposition de la défenderesse, ont permis à la NTH de récupérer le mot de passe et l’identifiant eBay de la défenderesse afin d’accéder à son compte privé sur la plateforme de vente en ligne eBay. Par souci de commodité, dans les présentes conclusions, j’utiliserai le terme « données initiales » à leur égard. D’autre part, les données relatives aux ventes des actifs professionnels de la société, qui ont été extraites du site internet eBay et ont servi de fondement à l’action en justice ayant été intentée par la NTH contre la défenderesse, seront désignées sous le terme de « données relatives aux ventes ».

18. Premièrement, s’agissant des données initiales, la juridiction de renvoi a indiqué que la question de savoir par quel moyen le fils de la défenderesse et du gérant de la NTH a eu connaissance du mot de passe et de l’identifiant eBay de la défenderesse est litigieuse. Néanmoins, dans le cadre de la troisième question préjudicielle, sous b), elle paraît partir du postulat que ces données ont été collectées et conservées en méconnaissance du principe de limitation de la conservation, établi à l’article 5, paragraphe 1, sous e), du RGPD, selon lequel les données à caractère personnel doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

19. À cet effet, la juridiction de renvoi fait référence au fait que « la collecte initiale de[s] données avait d’autres finalités ». Elle mentionne également une collecte illicite qui « remonte à une époque lointaine », une conservation illicite « à une date remontant loin dans le passé » ou qui « a perduré pendant de longues périodes », ainsi que la méconnaissance d’une obligation contractuelle d’effacer les données collectées « dans un délai déterminé ». Je comprends qu’il s’agit là de faire valoir que la collecte des données initiales avait d’autres finalités que de permettre à la société de collecter ultérieurement d’autres données, à savoir les données relatives aux ventes, aux fins d’introduire une action en justice contre la défenderesse, et que la durée de la conservation des données initiales aurait excédé la durée nécessaire à la réalisation des finalités pour lesquelles ces données ont été initialement collectées et conservées (7).

20. Deuxièmement, s’agissant des données relatives aux ventes, elles ne sauraient selon moi être visées par les hypothèses d’une collecte initiale qui aurait eu d’« autres finalités » ainsi que d’une conservation qui remonterait à une époque lointaine, qui aurait perduré pendant de longues périodes, ou qui aurait été effectuée en méconnaissance d’une obligation contractuelle d’effacement. En effet, il ne ressort nullement des éléments du dossier que ces données auraient été longtemps conservées par la NTH ou que leur collecte par la NTH aurait eu une finalité autre que l’introduction d’une action en justice à l’encontre de la défenderesse. Il ne s’agit par ailleurs pas de se pencher sur une hypothétique collecte ou conservation illicite des données de vente en ligne par eBay.

21. Malgré cela, il ressort à mon sens de la demande de décision préjudicielle que la juridiction de renvoi part du postulat que, pour autant que la NTH ait effectivement méconnu le principe établi à l’article 5, paragraphe 1, sous e), du RGPD à l’égard des données initiales, l’utilisation ultérieure de ces mêmes données afin d’accéder au compte privé eBay de la défenderesse est entachée d’illicéité ainsi que, par voie de conséquence, la collecte, par la NTH, des données relatives aux ventes (8).

22. L’intérêt de la présente affaire réside dès lors dans la licéité du traitement des données relatives aux ventes, par la juridiction de renvoi, dans le cadre de son activité juridictionnelle, le RGPD s’appliquant à l’ensemble des opérations de traitement effectuées par les autorités judiciaires, telle que la juridiction de renvoi (9). Il s’ensuit qu’il convient de tenir compte, dans la réponse à fournir à cette juridiction, des conditions de licéité du traitement de données à caractère personnel énoncés à l’article 6 du RGPD.

23. Dès lors, pour les besoins de la présente affaire, je suggère à la Cour de reformuler la troisième question préjudicielle, sous b), de manière que la Cour apprécie si l’article 5, paragraphe 1, sous e), du RGPD, lu en combinaison avec l’article 6 de ce règlement, doit être interprété en ce sens que le principe de la « limitation de la conservation», prévu à cette disposition, s’oppose à ce qu’une juridiction nationale puisse procéder, dans le cadre de sa fonction juridictionnelle, au traitement de données qui ont été obtenues en ayant recours à d’autres données dont la collecte initiale ou la conservation a été effectuée en méconnaissance dudit principe, voire impose à la juridiction nationale des exigences particulières au regard des modalités d’utilisation de ces données à caractère personnel.

Sur la troisième question, sous b)

24. Je rappelle que tout traitement de données à caractère personnel, y compris les traitements effectués par les autorités publiques telles que les juridictions, doit respecter les principes régissant les traitements des données à caractère personnel ainsi que les droits de la personne concernée énoncés respectivement aux chapitres II et III du RGPD. En particulier, de tels traitements doivent être conformes aux principes énoncés à l’article 5 de ce règlement et, eu égard au principe de la licéité du traitement, prévu au paragraphe 1, sous a), de cet article, satisfaire aux conditions de licéité énumérées à l’article 6 dudit règlement (10). Cette dernière disposition prévoit, à son paragraphe 1, une liste exhaustive et limitative des cas dans lesquels un traitement de données à caractère personnel peut être considéré comme étant licite. Pour qu’il puisse être considéré comme étant légitime, un traitement doit donc relever de l’un des cas prévus à cette disposition (11).

25. En particulier, le traitement des données à caractère personnel en cause au principal, à savoir leur utilisation par la juridiction de renvoi dans le cadre du processus juridictionnel, est susceptible de relever de l’article 6, paragraphe 1, sous e), du RGPD, en vertu duquel, le traitement est licite si, et dans la mesure où, il est « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement », cette disposition correspondant par ailleurs à l’article 3 de la loi fédérale sur la protection des données (12).

26. Comme indiqué aux points 16 à 22 des présentes conclusions, se pose dans l’affaire en cause au principal la question des incidences que diverses méconnaissances, par la NTH, du principe de limitation de la conservation, établi à l’article 5, paragraphe 1, sous e), du RGPD, à l’égard des données initiales ont sur l’admissibilité et l’utilisation des données relatives aux ventes par la juridiction de renvoi dans le cadre de son activité juridictionnelle.

27. À cet égard, je rappelle que, conformément à une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement des termes de celle-ci, mais également du contexte dans lequel elle s’inscrit, et des objectifs et de la finalité que poursuit l’acte dont elle fait partie (13).

28. S’agissant de l’article 5, paragraphe 1, sous e), du RGPD, la Cour a déjà relevé qu’il ressort sans ambiguïté du libellé de cet article que le principe de la « limitation de la conservation » requiert que le responsable du traitement soit en mesure de démontrer que les données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement traitées. Ainsi, même un traitement initialement licite de données peut devenir, avec le temps, incompatible avec le RGPD lorsque ces données ne sont plus nécessaires à la réalisation de telles finalités (14).

29. D’un point de vue contextuel, l’article 5, paragraphe 1, sous e), du RGPD s’inscrit parmi les principes relatifs au traitement des données énoncés à l’article 5 de ce règlement et constitue une expression du principe de proportionnalité. Il implique de procéder à une appréciation du caractère proportionné du traitement par rapport à sa finalité, au regard de l’écoulement du temps. Ainsi, le considérant 39 du RGPD énonce explicitement que la durée de conservation des données doit être « limitée au strict minimum » et que, « [a]fin de garantir que les données ne sont pas conservées plus longtemps que nécessaire, des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique » (15).

30. Quant à l’objectif poursuivi par l’article 5, paragraphe 1, sous e), du RGPD, ainsi qu’il ressort du considérant 10 de ce règlement, il consiste à assurer un niveau élevé de protection des personnes physiques au sein de l’Union à l’égard du traitement de leurs données à caractère personnel (16).

31. L’article 5, paragraphe 1, sous e), du RGPD concerne ainsi uniquement les exigences auxquelles doit répondre la conservation de données à caractère personnel (17) et ne permet donc pas d’apporter une réponse précise à la question de l’incidence d’une méconnaissance, par un premier responsable du traitement, du principe de limitation de la conservation de données à caractère personnel sur le traitement de données à caractère personnel par une juridiction nationale dans le cadre de son activité juridictionnelle. Une telle réponse ne ressort par ailleurs pas, selon moi, d’une autre disposition de ce règlement.

32. Ni l’article 5, paragraphe 1, sous e), du RGPD ni l’article 6, paragraphe 1, sous e), de ce règlement n’interdisent de manière générale et absolue qu’une autorité publique, telle qu’une juridiction, soit habilitée à tenir compte de données obtenues par l’une des parties au litige en ayant eu recours à d’autres données à caractère personnel dont le traitement par cette partie aurait été contraire au principe de limitation de la conservation.

33. Or, en l’absence de règles de l’Union en la matière, il appartient à l’ordre juridique interne de chaque État membre, en vertu du principe d’autonomie procédurale des États membres, de régler les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l’Union, à condition toutefois qu’elles ne soient pas moins favorables que celles régissant des situations similaires soumises au droit interne (principe d’équivalence), et qu’elles ne rendent pas impossible en pratique ou excessivement difficile l’exercice des droits conférés par le droit de l’Union (principe d’effectivité) (18). Les États doivent en outre utiliser leur marge d’appréciation dans les conditions et les limites prévues par le RGPD et légiférer de manière à ne pas porter atteinte au contenu et aux objectifs de celui-ci (19).

34. Plus spécifiquement, conformément à l’article 6, paragraphe 3, du RGPD, lu en combinaison avec les considérants 10 (20), 20 (21) et 45 (22) de ce règlement, la base juridique servant de fondement au traitement visé à l’article 6, paragraphe 1, sous e), dudit règlement, qu’il s’agisse du droit de l’Union ou du droit de l’État membre auquel le responsable du traitement est soumis, doit répondre à un objectif d’intérêt public et être proportionnée à l’objectif légitime poursuivi. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du RGPD, telles que, notamment, des conditions générales régissant la licéité du traitement par le responsable du traitement ou des opérations et procédures de traitement, y compris des mesures visant à garantir un traitement licite et loyal, à l’instar de celles prévues dans d’autres situations particulières de traitement, visées au chapitre IX du RGPD (23). Les États membres sont ainsi habilités à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles de ce règlement, ainsi que le prévoit l’article 6, paragraphe 2, dudit règlement.

35. Par ailleurs, le RGPD prévoit que les États membres peuvent déroger, notamment, à l’article 5 de ce règlement, lorsque cela est nécessaire pour sauvegarder certains objectifs importants d’intérêt public général dont, pour le cas de figure qui nous intéresse, « l’exécution des demandes de droit civil ». En effet, l’article 23, paragraphe 1, sous j) (24), du RGPD énonce que le droit de l’Union et le droit des États membres peuvent, par la voie de mesures législatives, limiter la portée des obligations et des droits qui y sont visés, lorsqu’une telle limitation respecte l’essence des libertés et des droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs importants d’intérêt public général tel que celui susmentionné (25).

36. Enfin, il convient de rappeler que les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel ne sont pas des prérogatives absolues, ainsi que l’indique le considérant 4 du RGPD, mais doivent être pris en considération par rapport à leur fonction dans la société et être mis en balance avec d’autres droits fondamentaux, tel que le droit à une protection juridictionnelle effective, garanti à l’article 47 de la Charte (26).

37. Des limitations peuvent ainsi être apportées, pourvu que, conformément à l’article 52, paragraphe 1, de la Charte, elles soient prévues par la loi et qu’elles respectent le contenu essentiel des droits fondamentaux ainsi que le principe de proportionnalité. En vertu de ce dernier principe, des limitations ne peuvent être apportées que si elles sont nécessaires et répondent effectivement à des objectifs d’intérêt général reconnus par l’Union ou au besoin de protection des droits et des libertés d’autrui. Elles doivent indiquer en quelles circonstances et sous quelles conditions une mesure prévoyant le traitement de telles données peut être prise, garantissant ainsi que l’ingérence soit limitée au strict nécessaire. La réglementation comportant l’ingérence doit par ailleurs prévoir des règles claires et précises régissant la portée et l’application de la mesure en cause (27), et imposer des exigences minimales, de telle sorte que les personnes dont les données à caractère personnel sont concernées disposent de garanties suffisantes permettant de protéger efficacement ces données contre les risques d’abus (28).

38. J’ajoute que le droit de l’Union ne régit pas la question de la recevabilité des preuves dans les procédures judiciaires nationales, qui relève, conformément au principe d’autonomie procédurale des États membres, du droit national, sous réserve du respect notamment des principes d’équivalence et d’effectivité, comme indiqué au point 33 des présentes conclusions (29). La Cour européenne des droits de l’homme (30) ne considère pas davantage qu’il lui appartient de se prononcer sur la recevabilité d’éléments de preuve obtenus de manière illégale, matière qui relève au premier chef du droit interne. Il ressort en substance de la jurisprudence de la Cour EDH, relative à l’article 6 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (31), que la compétence de la Cour EDH porte sur la question de savoir si la procédure, y compris la manière dont les éléments de preuve ont été obtenus, est équitable dans son ensemble. Cela implique l’examen de l’« illégalité » en question et, dans les cas où se trouve en cause la violation d’un autre droit protégé par cette convention, de la nature de cette violation (32).

39. De même, la Cour a déjà considéré qu’il appartient, en principe, au seul droit national de déterminer les règles relatives à l’admissibilité et à l’appréciation, dans le cadre d’une procédure pénale ouverte à l’encontre de personnes soupçonnées d’actes de criminalité grave, d’informations et d’éléments de preuve qui ont été obtenus par une conservation de données contraire au droit de l’Union. Les règles nationales relatives à l’admissibilité, à l’exclusion ou à l’exploitation d’éléments de preuve contenant des données à caractère personnel doivent alors également respecter le principe du contradictoire ainsi que le droit à un procès équitable (33). Il ne saurait en aller différemment dans le cadre d’une procédure civile.

40. Il résulte de ce qui précède que, en l’absence de règles de l’Union en la matière, les questions de l’admissibilité et des modalités d’utilisation de données à caractère personnel par une juridiction nationale dans le cadre de son activité juridictionnelle, en ce compris lorsque ces données sont indirectement entachées par un traitement contraire au principe de limitation de la conservation d’autres données à caractère personnel ayant servi à leur obtention, doivent trouver leur base juridique dans le droit de l’État membre auquel le responsable du traitement est soumis, au sens de l’article 6, paragraphe 3, sous b), du RGPD, lu en combinaison avec l’article 23, paragraphe 1, de ce règlement.

41. Or, il ressort des éléments du dossier que l’une des bases juridiques de la production des données relatives aux ventes des actifs professionnels de la société en tant qu’éléments de preuve dans le cadre d’une action juridictionnelle est l’article 138 du code de procédure civile, qui prévoit pour les parties au litige l’obligation d’expliquer les faits. L’article 3 de la loi fédérale sur la protection des données établit la possibilité pour un organisme public de procéder au traitement de données à caractère personnel qui est nécessaire à l’exécution d’une mission relevant de sa compétence (34).

42. La juridiction de renvoi a par ailleurs mentionné que ni la loi fédérale sur la protection des données ni le code de procédure civile ne comporte de règles sur les conditions qui doivent être remplies ou sur les critères qui doivent être mis en balance afin de pouvoir établir s’il incombe, ou s’il est possible ou permis à une juridiction de tenir compte des éléments de fait qu’invoque une partie ou d’administrer les preuves offertes par une partie. En particulier, aucune disposition ne serait prévue pour les cas où la partie a obtenu illégalement les informations sur lesquelles elle se fonde ou pour ceux où elle s’appuie sur des preuves obtenues illégalement. En procédure civile allemande, en ce compris devant le tribunal du travail, ce ne serait que sur une base prétorienne qu’il est fait application d’interdictions d’utilisation de données.

43. Il ressort également de la demande de décision préjudicielle, d’une part, que, selon une jurisprudence constante du Bundesverfassungsgericht (Cour constitutionnelle fédérale, Allemagne), les juridictions nationales sont en principe tenues, pour établir la vérité, de prendre en considération les moyens de preuve offerts par les parties, si et dans la mesure où une allégation de fait est pertinente et qu’elle doit être prouvée en tant qu’elle est contestée (35).

44. D’autre part, le Bundesarbeitsgericht (Cour fédérale du travail, Allemagne) aurait en substance considéré que le traitement de données à caractère personnel par une juridiction est envisageable même si la collecte de ces données à laquelle une partie a procédé à un stade précontentieux ou extrajudiciaire se révèle illégale en vertu du RGPD ou du droit national de la protection des données. Toutefois, si la partie procède à des collectes de données qui emportent une atteinte au droit général de la personnalité de la personne concernée, l’invocation par la partie d’un intérêt général à la preuve ne serait pas suffisante. Une juridiction nationale devrait alors tenir compte d’autres éléments, dont il résulte que l’intérêt à l’obtention de preuves mérite une protection en dépit de l’atteinte à la personnalité (36).

45. J’en conclus qu’il existe une base juridique nationale établissant les conditions d’admissibilité ainsi que les modalités d’utilisation des données à caractère personnel dans une situation telle que celle en cause dans l’affaire au principal.

46. En effet, la Cour a déjà précisé qu’il est indifférent que le traitement de données à caractère personnel soit fondé sur une disposition du droit national matériel ou procédural (37). Elle a ajouté que « le droit de l’État membre auquel le responsable du traitement est soumis », au sens de l’article 6, paragraphe 3, sous b), du RGPD, ou la référence à une « mesure législative », à l’article 23 de ce règlement, n’implique pas nécessairement l’adoption d’un acte législatif par un parlement mais couvre également la jurisprudence nationale, pour autant qu’elle soit claire et précise et que son application soit prévisible pour les justiciables, conformément à la jurisprudence de la Cour ainsi que de la Cour EDH (38).

47. Il incombe dès lors à la juridiction de renvoi d’identifier les dispositions pertinentes du droit national, ainsi que la jurisprudence de l’État membre concerné, de les appliquer et de vérifier si, d’une part, elles sont conformes aux principes d’équivalence et d’effectivité, et répondent à un objectif d’intérêt public et, d’autre part, elles sont nécessaires et proportionnées audit objectif, si bien qu’elles sont susceptibles de relever des cas de traitement de données à caractère personnel considérés comme licites au titre des dispositions de l’article 6, paragraphe 3, sous b), du RGPD, lu en combinaison avec l’article 23, paragraphe 1, de celui-ci (39).

48. Partant, il appartient à la juridiction de renvoi, seule compétente pour interpréter le droit national et la jurisprudence nationale, de déterminer l’admissibilité des éléments de preuve incluant des données à caractère personnel, ainsi que les modalités de leur utilisation, qui seront fonction des circonstances de l’espèce et du type de procédure en cause.

Conclusion

49. À la lumière des considérations qui précèdent, je propose à la Cour de répondre à la troisième question préjudicielle, sous b), posée par le Landesarbeitsgericht Niedersachsen (tribunal supérieur du travail de Basse-Saxe, Allemagne) de la manière suivante :

L’article 5, paragraphe 1, sous e), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lu en combinaison avec l’article 6 de ce règlement,

doit être interprété en ce sens que :

le principe de la « limitation de la conservation », prévu à cette disposition, ne s’oppose pas à ce qu’une juridiction nationale puisse procéder, dans le cadre de sa fonction juridictionnelle, au traitement de données qui ont été obtenues en ayant recours à d’autres données dont la collecte initiale ou la conservation a été effectuée en méconnaissance de ce principe.

Il appartient à la juridiction nationale de veiller à ce que les modalités d’utilisation de ces données à caractère personnel dans le cadre de son activité juridictionnelle trouvent leur fondement dans le droit national applicable, soient conformes aux principes d’équivalence et d’effectivité, répondent à un objectif d’intérêt public, et soient nécessaires et proportionnées à cet objectif.

1 Langue originale : le français.

2 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

3 BGBl. 2005 I, p. 3202.

4 BGBl. 2017 IS., p. 2097.

5 Ci-après la « Charte ».

6 Je considère que, par « actes postérieurs de traitement » dans le cadre d’une activité juridictionnelle, la juridiction de renvoi vise tant l’admissibilité des données à caractères personnel produites en tant qu’éléments de preuve au litige que leur utilisation, dans le cadre de la procédure, afin de fonder sa décision.

7 J’éprouve cependant quelques doutes quant aux longues périodes ou à la lointaine date dans le passé auxquelles la juridiction de renvoi fait référence. En effet, il ressort des éléments du dossier que la question de savoir si, entre la fin de la relation de travail entre la NTH et la défenderesse, le 31 octobre 2019, et la séparation des époux, le 26 juin 2022, la défenderesse a continué à accéder aux locaux de la société et à utiliser les ordinateurs qui s’y trouvaient à des fins professionnelles ou exclusivement privées est litigieuse. S’il revient in fine à la juridiction de renvoi de se prononcer à cet égard, dans le cadre des présentes conclusions, au vu du libellé de la troisième question préjudicielle, sous b), je partirai du postulat que la collecte et la conservation des données initiales ont été effectuées en méconnaissance du principe de limitation de la conservation des données.

8 À cet égard, je relève que, comme l’évoque en substance l’avocate générale Ćapeta dans ses conclusions dans l’affaire Norra Stockholm Bygg (C-268/21, EU:C:2022:755, point 20), il est permis de considérer que, pour autant qu’un premier traitement de données à caractère personnel doive être déclaré illicite au regard du RGPD, le traitement ultérieur de ces mêmes données à une autre fin serait également, par extension, entaché d’illicéité.

9 Voir, en ce sens, arrêt du 24 mars 2022, Autoriteit Persoonsgegevens (C-245/20, EU:C:2022:216, points 25 et 34).

10 Voir arrêts du 20 octobre 2022, Digi (C-77/21, EU:C:2022:805, ci-après l’« arrêt Digi », point 49 et jurisprudence citée) ; du 2 mars 2023, Norra Stockholm Bygg (C-268/21, EU:C:2023:145, ci-après l’« arrêt Norra Stockholm Bygg », point 29), et du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire) (C-60/22, EU:C:2023:373, point 57 et jurisprudence citée).

11 Voir arrêt du 4 octobre 2024, Koninklijke Nederlandse Lawn Tennisbond, (C-621/22, EU:C:2024:858, point 29 et jurisprudence citée).

12 Je relève que, si le gouvernement finlandais soutient que les actes de traitement de données effectués dans le cadre d’une activité juridictionnelle constituent un traitement relevant de l’article 6, paragraphe 1, sous c), du RGPD, et bien que la juridiction de renvoi mentionne cette disposition dans la demande de décision préjudicielle, il ne ressort pas des éléments du dossier que le traitement des données en cause dans l’affaire au principal serait nécessaire au respect d’une obligation légale à laquelle cette juridiction serait soumise.

13 Voir arrêt Digi (point 23 et jurisprudence citée).

14 Voir arrêt Digi (points 53 et 54).

15 Voir conclusions de l’avocat général Pikamäe dans l’affaire Digi (C-77/21, EU:C:2022:248, points 29, 30, 62 et 64).

16 Voir arrêt du 7 mai 2009, Rijkeboer (C-553/07, EU:C:2009:293, points 33 et 35), qui concernait l’article 6, paragraphe 1, sous e), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), dont la norme correspondante est reprise à l’article 5, paragraphe 1, sous e), du RGPD ; voir, également, arrêt Digi (point 59).

17 Voir arrêt du 11 décembre 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C-708/18, EU:C:2019:1064, point 29).

18 Voir, par analogie, arrêt du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C-746/18, EU:C:2021:152, point 42).

19 Voir arrêt du 3 avril 2025, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale) (C-710/23, EU:C:2025:231, point 40).

20 « […] En ce qui concerne le traitement de données à caractère personnel nécessaire au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, il y a lieu d’autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l’application des règles du présent règlement. […] »

21 « Bien que le présent règlement s’applique, entre autres, aux activités des juridictions et autres autorités judiciaires, le droit de l’Union ou le droit des États membres pourrait préciser les opérations et procédures de traitement en ce qui concerne le traitement des données à caractère personnel par les juridictions et autres autorités judiciaires. […] »

22 « Lorsque le traitement est effectué conformément à une obligation légale à laquelle le responsable du traitement est soumis ou lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement devrait avoir un fondement dans le droit de l’Union ou dans le droit d’un État membre. […] »

23 Voir arrêts Norra Stockholm Bygg (point 32), et du 3 avril 2025, Ministerstvo zdravotnictví (Données relatives au représentant d’une personne morale) (C-710/23, EU:C:2025:231, point 37).

24 Le gouvernement allemand ajoute que le traitement des données à caractère personnel par la juridiction de renvoi peut également relever de l’objectif de protection de l’indépendance de la justice et des procédures judiciaires, établi à l’article 23, paragraphe 1, sous f), du RGPD.

25 Voir, en ce sens, arrêt du 24 février 2022, Valsts ieņēmumu dienests (Traitement des données personnelles à des fins fiscales) (C-175/20, ci-après l’« arrêt Valsts ieņēmumu dienests », EU:C:2022:124, point 51) ; conclusions de l’avocat général Pikamäe dans l’affaire I. (Vente d’une base de données) (C-693/22, EU:C:2024:162, points 85 à 88).

26 Voir arrêt Norra Stockholm Bygg (point 49). La question plus spécifique de la mise en balance du droit à la protection des données à caractère personnel et du droit à une protection juridictionnelle effective relève de la troisième question préjudicielle, sous d), qui ne fait pas l’objet des présentes conclusions ciblées.

27 Voir, en ce sens, arrêt du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité) (C-439/19, EU:C:2021:504, point 105 et jurisprudence citée).

28 Voir, en ce sens, arrêt Valsts ieņēmumu dienests (point 83 et jurisprudence citée), dans lequel il était notamment question du respect de l’exigence de proportionnalité, à laquelle l’article 5, paragraphe 1, sous c), du RGPD donne expression. À cet égard, je note que la troisième question préjudicielle, sous a), qui ne fait pas l’objet des présentes conclusions ciblées, porte plus précisément sur l’examen de la proportionnalité.

29 Voir arrêts du 2 mars 2021, Prokuratuur (Conditions d’accès aux données relatives aux communications électroniques) (C-746/18, EU:C:2021:152, points 41 à 44), et du 5 avril 2022, Commissioner of An Garda Síochána e.a. (C-140/20, EU:C:2022:258, point 127).

30 Ci-après la « Cour EDH ».

31 Signée à Rome le 4 novembre 1950.

32 Voir Cour EDH, 12 mai 2000, Khan c. Royaume-Uni (CE:ECHR:2000:0512JUD003539497, § 34 et jurisprudence citée), et Cour EDH, 10 mars 2009, Bykov c. Russie (CE:ECHR:2009:0310JUD000437802, § 88 et 89 ainsi que jurisprudence citée). Voir, également, Cour EDH, 15 janvier 2015, Dragojević c. Croatie (CE:ECHR:2015:0115JUD006895511, § 129), et Cour EDH, 16 février 2021, Budak c. Turquie (CE:ECHR:2021:0216JUD006976212, § 71), dans lesquels la Cour EDH a ajouté que, pour déterminer si la procédure dans son ensemble a été équitable, il faut examiner si les droits de la défense ont été respectés, ce qui implique notamment d’examiner si le requérant a eu la possibilité de contester l’authenticité des preuves et de s’opposer à leur utilisation, ainsi que de prendre en considération la qualité des preuves, notamment si les circonstances dans lesquelles elles ont été obtenues jettent un doute sur leur fiabilité ou leur exactitude.

33 Voir arrêt du 6 octobre 2020, La Quadrature du Net e.a. (C-511/18, C-512/18 et C-520/18, EU:C:2020:791, points 221, 222, 225 à 227), portant, entre autres, sur la question de savoir si le droit de l’Union s’oppose à une exploitation, dans le cadre d’une procédure pénale, d’informations et d’éléments de preuve obtenus en méconnaissance des exigences résultant de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37).

34 Le gouvernement allemand ajoute que les articles 138, 286, 355 et suiv. du code de procédure civile visent dans l’ensemble à l’établissement des faits pertinents aux fins du jugement, et que les dispositions combinées de l’article 286 de ce code et de l’article 103, paragraphe 1, de la loi fondamentale impliquent que les juridictions sont en principe tenues de prendre en considération les faits qu’exposent les parties et les preuves qu’elles offrent.

35 Voir Bundesverfassungsgericht (Cour constitutionnelle fédérale), décision du 9 octobre 2002 (1 BVR 1611/96, BVerfGE 106, 28-51, DE:BVerfG:2002:rs20021009.1bvr161196, point 60).

36 La 2^e chambre du Bundesarbeitsgericht (Cour fédérale du travail) aurait ainsi, dans un arrêt du 29 juin 2023 (2 AZR 297/22, DE:BAG:2023:290623.U.2AZR297.22.0), considéré qu’une telle conclusion résultait en toute clarté de l’article 17 du RGPD. Le gouvernement allemand confirme cette lecture de l’arrêt en question. Il ajoute en substance que, conformément à cette jurisprudence, le tribunal peut également être amené à écarter certains moyens de preuve lorsque leur utilisation constituerait une violation grave des droits fondamentaux d’une partie au procès. À cet égard, je précise que la question de la possibilité qu’un justiciable puisse faire valoir ses droits lorsqu’il existe un intérêt légitime à la preuve relève plus spécifiquement de la troisième question préjudicielle, sous c), qui ne fait pas l’objet des présentes conclusions ciblées.

37 Voir arrêt Norra Stockholm Bygg (point 40).

38 Voir considérant 41 du RGPD ainsi que, en ce sens, arrêts Valsts ieņēmumu dienests (points 52 et 56), et du 12 septembre 2024, HTB Neunte Immobilien Portfolio et Ökorenta Neue Energien Ökostabil IV (C-17/22 et C-18/22, EU:C:2024:738, point 71).

39 C’est ainsi que la Cour a déjà considéré que des dispositions de droit national, qui visent la production d’un document en tant qu’élément de preuve, sont susceptibles de relever des cas de traitement de données à caractère personnel considérés comme licites au titre des dispositions de l’article 6, paragraphes 3 et 4, du RGPD, lu en combinaison avec l’article 23, paragraphe 1, sous f) et j), de celui-ci [voir arrêt Norra Stockholm Bygg (point 45)], voire que, lorsqu’une juridiction exerce les compétences juridictionnelles lui ayant été conférées par le droit national, le traitement de données à caractère personnel que cette juridiction est amenée à effectuer doit être considéré comme étant nécessaire à la finalité énoncée à l’article 6, paragraphe 1, premier alinéa, sous e), dudit règlement [voir arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire) (C-60/22, EU:C:2023:373, point 73)].