DOCUMENT DE TRAVAIL

ARRÊT DU TRIBUNAL (dixième chambre)

3 décembre 2025 (*)

« Traitement des données à caractère personnel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union – Règlement (UE) 2018/1725 – Demandes adressées à l’EPSO concernant l’accès aux données à caractère personnel et leur traitement – Erreur de droit »

Dans les affaires T-318/24 et T-362/24

WS, représenté par M^e H. Tettenborn, avocat,

partie requérante,

contre

Commission européenne, représentée par MM. A. Bouchagiar et H. Kranenborg, en qualité d’agents,

partie défenderesse,

LE TRIBUNAL (dixième chambre),

composé, lors des délibérations, de MM. L. Madise, faisant fonction de président, P. Nihoul et S. Verschuur (rapporteur), juges,

greffier : M. V. Di Bucci,

vu la phase écrite de la procédure,

vu l’absence de demande de fixation d’une audience présentée par les parties dans le délai de trois semaines à compter de la signification de la clôture de la phase écrite de la procédure et ayant décidé, en application de l’article 106, paragraphe 3, du règlement de procédure du Tribunal, de statuer sans phase orale de la procédure,

rend le présent

Arrêt

1 Par ses recours dans les affaires T-318/24 et T-362/24, fondés sur l’article 263 TFUE, le requérant, [confidentiel] (1), demande l’annulation, respectivement, de la décision de l’Office européen de sélection du personnel (EPSO) du 15 avril 2024, par laquelle celui-ci a rejeté partiellement la demande d’accès à des données à caractère personnel le concernant du 4 janvier 2024, au titre de l’article 17 du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO 2018, L 295, p. 39) (ci-après la « décision attaquée du 15 avril 2024 »), et de la décision du 3 mai 2024 de l’EPSO, communiquée par courriel du 6 mai 2024, par laquelle sa demande d’accès à des données à caractère personnel le concernant du 1^er février 2024, au titre du règlement 2018/1725, a également été rejetée (ci-après la « décision attaquée du 3 mai 2024 »).

Antécédents du litige

2 L’EPSO dispose de deux outils informatiques pour gérer les procédures de sélection des agents contractuels et temporaires, à savoir, d’une part, le système Talent, dans lequel les personnes souhaitant travailler pour les institutions de l’Union européenne doivent créer un compte, et, d’autre part, le portail de recrutement, qui contient des informations sur les candidats ayant réussi des épreuves de sélection.

3 Le système Talent établit des journaux des personnes qui ont consulté un compte EPSO, mais n’enregistre pas la finalité précise de la consultation. Le portail de recrutement établit des journaux des personnes qui ont accédé au portail en tant que tel, mais n’enregistre pas la consultation des données à caractère personnel de chacun des candidats sur ce portail.

4 Seuls la personne concernée et certains membres du personnel de l’EPSO peuvent avoir accès au compte EPSO de cette personne dans le système Talent. En revanche, les membres du personnel d’autres institutions chargés des ressources humaines ou du recrutement peuvent avoir accès au portail de recrutement, mais ledit accès est limité aux données d’un candidat retenu.

5 Le requérant a participé à quatre procédures de sélection pour lesquelles il avait créé un compte EPSO dans le système Talent et, puisqu’il avait réussi les épreuves de l’une desdites procédures, il était inscrit sur le portail de recrutement en ce qui concernait cette procédure.

6 Le 18 juin 2022, le requérant a soumis à l’EPSO, au titre de l’article 17 du règlement 2018/1725, une demande d’accès à des données à caractère personnel le concernant, relatives à ses quatre candidatures, qui figuraient sur son compte EPSO.

7 Dans sa réponse du 5 août 2022 à la demande d’accès du requérant, l’EPSO a fourni à ce dernier des précisions sur les catégories de destinataires autorisés à consulter ses données à caractère personnel ainsi que sur leurs fonctions. Toutefois, l’EPSO a indiqué que le requérant n’était pas en droit d’obtenir, en vertu de l’article 17 du règlement 2018/1725, des informations sur la date et l’heure de l’accès auxdites données à caractère personnel ni sur l’identité des personnes ayant accédé à ces données.

8 Le 16 novembre 2022, le requérant a introduit une réclamation auprès du Contrôleur européen de la protection des données (CEPD), en faisant valoir que l’EPSO aurait dû lui donner accès aux fichiers journaux de son compte EPSO.

9 Par sa décision du 16 juin 2023, le CEPD a conclu que les fichiers journaux ne constituaient pas des données à caractère personnel et que le requérant n’était donc pas en droit d’y accéder en vertu de l’article 17, paragraphe 1, sous c), du règlement 2018/1725.

10 Le 31 octobre 2023, à la suite d’une demande de révision introduite par le requérant le 4 juillet 2023 en vertu de l’article 18, paragraphe 1, de la décision du CEPD du 15 mai 2020 portant adoption du règlement intérieur du CEPD (JO 2020, L 204, p. 49), et eu égard à l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501), le CEPD a revu sa position et a ordonné à l’EPSO de donner au requérant l’accès à « toutes les données le concernant, y compris la date et l’heure ainsi que la finalité de chaque accès figurant dans les [fichiers] journaux créés lors des opérations de consultation de son dossier EPSO dans le cadre des quatre procédures de sélection de l’EPSO auxquelles il a[vait] participé ».

11 Le 30 novembre 2023, l’EPSO a donné suite à la décision de révision du CEPD du 31 octobre 2023, en fournissant au requérant trois documents comportant les informations disponibles dans ses fichiers journaux, à l’exception de l’identité des membres du personnel de l’EPSO qui avaient consulté son compte EPSO. L’EPSO a justifié cette exclusion en renvoyant au point 83 de l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501).

12 Le 4 janvier 2024, le requérant a soumis à l’EPSO, au titre de l’article 17 du règlement 2018/1725, une nouvelle demande d’accès à des données à caractère personnel le concernant, afin d’obtenir, notamment, « toutes les données en cours de traitement par l’EPSO/[la Commission européenne] qui n’[avaie]nt pas été collectées auprès de la personne concernée, et plus particulièrement (mais pas exclusivement) toutes les données fournies à la Commission […] par [l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO)] ou le CEPD (ou tout autre organe) », « [l]es journaux d’accès créés lors des opérations de consultation, indiquant la date et l’heure ainsi que la finalité de chaque accès », « [l]es comptes rendus des réunions conformément aux lignes directrices du CEPD relatives au droit d’accès et à l’arrêt dans les affaires jointes C-141/12 et C-372/12 » ainsi que « [t]oute communication (par exemple des discussions instantanées sur Teams, des courriels, etc.) entre la Commission et d’autres tiers conformément aux lignes directrices du CEPD relatives au droit d’accès ».

13 Le 1^er février 2024, le requérant a soumis à l’EPSO, au titre de l’article 17 du règlement 2018/1725, une nouvelle demande d’accès à des données à caractère personnel le concernant, en sollicitant :

– la restauration des données à caractère personnel le concernant qui auraient été supprimées illégalement ;

– une copie de ses données après restauration ;

– tous les comptes rendus des réunions qui s’étaient tenues au sein de l’EPSO ou en dehors, conformément aux lignes directrices 01/2022 du CEPD, du 28 mars 2023, sur les droits des personnes concernées – Droit d’accès et à l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501) ;

– toutes les communications internes ou externes (par exemple des groupes de discussion, des courriels, etc.) entre la Commission et des tiers ;

– les fichiers journaux, respectant en tous points les exigences du règlement 2018/1725 [eu égard à l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501)], contenant les destinataires, les catégories de destinataires, les finalités des accès, etc. ;

– le respect de ses droits d’opposition et de limitation ;

– la preuve que l’EPSO ne disposait d’aucun fichier journal ou d’aucune donnée réputée nécessaire en application du principe de responsabilité prévu par le règlement 2018/1725 et de l’injonction du CEPD ;

– la preuve que ses données relatives à trois procédures de sélection avaient été supprimées ainsi que la date, la raison et l’auteur de cette suppression.

14 Dans la décision attaquée du 15 avril 2024, la demande du requérant du 4 janvier 2024 (voir point 12 ci-dessus) a été rejetée.

15 Dans la décision attaquée du 3 mai 2024, la demande du requérant du 1^er février 2024 (voir point 13 ci-dessus) a été rejetée.

16 Dans la décision attaquée du 3 mai 2024, l’EPSO a confirmé que, après avoir reçu la demande du requérant du 18 juin 2022 (voir point 6 ci-dessus), il avait supprimé les données à caractère personnel concernant ce dernier relatives aux trois procédures de sélection auxquelles il avait échoué, dès lors que lesdites données auraient normalement dû être supprimées deux ans après la date à laquelle il avait été exclu de ces procédures.

17 À cet égard, l’EPSO a expliqué que les données à caractère personnel des candidats étaient conservées pendant une certaine période et que, à l’expiration de cette dernière, lesdites données étaient supprimées manuellement, puisque le système Talent ne disposait pas d’une fonctionnalité permettant leur suppression automatique. En outre, l’EPSO a indiqué que le caractère non automatique et périodique de cette méthode signifiait que, dans certains cas, les données pouvaient être conservées au-delà des délais de conservation légaux applicables, ce qui avait été le cas en l’espèce. Dans ce cadre, l’EPSO a reconnu que sa position était contraire aux lignes directrices 01/2022 du CEPD sur les droits des personnes concernées – Droit d’accès, mais a précisé que, dans la mesure où celles-ci avaient été adoptées postérieurement à sa réponse à la demande du requérant du 18 juin 2022, il n’était pas en mesure de les prendre en considération. Partant, il a conclu que la suppression des données du requérant après l’expiration d’une certaine période ne violait pas le règlement 2018/1725 ni aucune règle juridique pertinente.

18 Le 6 mai 2024, le requérant a transmis la décision attaquée du 3 mai 2024 au CEPD.

19 Le 21 mai 2024, le CEPD a clôturé son enquête en expliquant qu’« [il] a[vait] soigneusement analysé la réponse adressée par l’EPSO au plaignant le 30 novembre 2023, ainsi que les précisions apportées dans la lettre du 3 mai 2024 », et a conclu que « l’EPSO a[vait] fourni au plaignant les journaux générés lors des opérations de consultation du dossier EPSO de celui-ci qu’il avait en sa possession » et que, partant, ce dernier « s’[était] conformé à l’injonction du CEPD de donner au plaignant l’accès à toutes les données des [fichiers] journaux le concernant qui étaient disponibles dans les systèmes utilisés aux fins de la gestion des procédures de sélection ».

Conclusions des parties

20 Le requérant conclut à ce qu’il plaise au Tribunal :

– annuler la décision attaquée du 15 avril 2024 et la décision attaquée du 3 mai 2024 ;

– condamner la Commission aux dépens.

21 La Commission conclut à ce qu’il plaise au Tribunal :

– rejeter les recours ;

– condamner le requérant aux dépens.

En droit

22 Les parties ayant été entendues à cet égard, le Tribunal décide de joindre les présentes affaires aux fins de l’arrêt, conformément à l’article 68 du règlement de procédure du Tribunal.

23 Au soutien de son recours dans l’affaire T-318/24, le requérant soulève un moyen unique, tiré, premièrement, de la violation de l’article 17, paragraphe 1, sous a) et c), et paragraphe 3, du règlement 2018/1725, deuxièmement, de la violation de l’article 4, paragraphe 1, sous a) et f), et paragraphe 2, du même règlement et, troisièmement, de la violation de l’article 14, paragraphe 3, dudit règlement.

24 Au soutien de son recours dans l’affaire T-362/24, le requérant soulève un moyen unique, tiré, premièrement, de la violation de l’article 4, paragraphe 1, sous a), d) et f), et paragraphe 2, du règlement 2018/1725, deuxièmement, de la violation de l’article 14, paragraphes 1 à 3, dudit règlement, troisièmement, de la violation de l’article 17, paragraphes 1 et 3, de ce règlement et, quatrièmement, de la violation des articles 20 et 23 du même règlement.

Sur la violation de l’article 17, paragraphes 1 et 3, du règlement 2018/1725

25 Le requérant fait valoir que l’EPSO a commis une violation de l’article 17, paragraphes 1 et 3, du règlement 2018/1725 en ce que, dans la décision attaquée du 15 avril 2024 et dans la décision attaquée du 3 mai 2024, ce dernier n’a fourni aucune des données à caractère personnel qu’il avait sollicitées dans le cadre de ses demandes des 4 janvier et 1^er février 2024, à savoir une copie des données à caractère personnel le concernant qui avaient été illégalement supprimées, mais qui devraient être restaurées, les comptes rendus contenant des données à caractère personnel le concernant des réunions qui s’étaient tenues au sein de la Commission ou en dehors ainsi que toutes les communications internes ou externes entre la Commission et des tiers contenant des données à caractère personnel le concernant et les fichiers journaux, respectant en tous points les exigences du règlement 2018/1725 eu égard à l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501), contenant les destinataires, les catégories de destinataires, les finalités des accès, etc.

26 La Commission conteste ces arguments.

27 À titre liminaire, il convient de rappeler que, selon l’article 17, paragraphes 1 et 3, du règlement 2018/1725, la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que, notamment, les finalités du traitement, les destinataires ou les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées. Le responsable du traitement fournit également une copie des données à caractère personnel faisant l’objet d’un traitement.

28 Premièrement, s’agissant de la copie des données à caractère personnel concernant le requérant qui auraient été illégalement supprimées, il y a lieu de relever, comme le fait valoir à juste titre la Commission au point 36 du mémoire en défense dans l’affaire T-362/24, que l’EPSO était en droit de supprimer lesdites données concernant le requérant, ainsi qu’il ressort des points 55 à 59 ci-après. Par ailleurs, le règlement 2018/1725 ne confère pas aux personnes concernées un droit à la restauration des données supprimées. En effet, sur ce point, le règlement n’impose aucune obligation pour le responsable du traitement et le requérant n’a d’ailleurs identifié aucune disposition qui permettrait de soutenir l’existence d’une telle obligation.

29 Partant, il convient de conclure que, en refusant de fournir au requérant une copie des données mentionnées au point 25 ci-dessus après leur restauration, la Commission n’a commis aucune violation de l’article 17, paragraphes 1 et 3, du règlement 2018/1725.

30 Deuxièmement, s’agissant des comptes rendus des réunions et des communications internes ou externes, il convient de constater que, dans sa demande du 1^er février 2024, le requérant avait sollicité essentiellement les mêmes comptes rendus et communications que dans sa demande du 4 janvier 2024 (voir point 12 ci-dessus), à laquelle l’EPSO avait répondu par la décision attaquée du 15 avril 2024 (voir point 14 ci-dessus), donc antérieurement à la décision attaquée du 3 mai 2024.

31 Par conséquent, il y a lieu de conclure que l’EPSO pouvait légitimement estimer qu’il avait répondu à la demande du requérant et que, par conséquent, il n’était pas nécessaire de réitérer sa réponse dans la décision attaquée du 3 mai 2024.

32 Plus particulièrement, en ce qui concerne les comptes rendus des réunions, l’EPSO a indiqué, au point 6 de la décision attaquée du 15 avril 2024, qu’il « n’a[vait] établi aucun procès-verbal de réunion concernant [le requérant] ou contenant des données à caractère personnel [le] concernant, et [qu’il] n’a[vait] pas non plus reçu de tels documents d’autres services ».

33 En ce qui concerne les communications internes ou externes, l’EPSO a déclaré, au point 7 de la décision attaquée du 15 avril 2024, que « les seules données à caractère personnel actuellement traitées par [lui] qui n’[avaie]nt pas été collectées auprès [du requérant] et qui [avaie]nt été incluses dans des communications [étaie]nt [celles correspondant aux] numéros des dossiers [relatifs aux réclamations soumises par le requérant auprès du délégué à la protection des données de la Commission et du CEPD] ».

34 À cet égard, il convient de constater que le requérant ne fournit aucun argument à même de réfuter les affirmations figurant aux points 32 et 33 ci-dessus. En effet, comme le fait valoir à juste titre la Commission, dans ce contexte, le requérant se limite seulement à donner une liste de communications entre l’EPSO et des tiers, sans indiquer précisément quelles sont, au sein de ces dernières, les données à caractère personnel le concernant qui ne lui ont pas été fournies par l’EPSO.

35 Or, il y a lieu de relever que, selon une jurisprudence constante, le droit d’obtenir une copie des données à caractère personnel faisant l’objet d’un traitement se rapporte non pas à un document en tant que tel, mais aux données à caractère personnel qu’il contient et qui doivent être complètes [voir, en ce sens, arrêt du 26 octobre 2023, FT (Copies du dossier médical), C-307/22, EU:C:2023:811, point 72 et jurisprudence citée].

36 Partant, le requérant n’est pas parvenu à réfuter, sur la base d’indices pertinents et concordants, les affirmations de l’EPSO quant à l’inexistence de données à caractère personnel le concernant dans les documents sollicités.

37 Il découle que ce qui précède que, en omettant de fournir au requérant des comptes rendus des réunions et des communications internes ou externes, la Commission n’a pas violé l’article 17, paragraphes 1 et 3, du règlement 2018/1725.

38 Troisièmement, s’agissant de l’accès aux fichiers journaux, il ressort du dossier que les fichiers concernés ont été transmis au requérant par lettre du 30 novembre 2023, à la suite de l’injonction du CEPD (voir point 10 ci-dessus).

39 À cet égard, il convient de constater que le requérant avait sollicité dans sa demande du 1^er février 2024 les mêmes fichiers journaux que dans sa demande du 4 janvier 2024 (voir point 12 ci-dessus), à laquelle l’EPSO avait répondu par la décision attaquée du 15 avril 2024 (voir point 14 ci-dessus), donc antérieurement à la décision attaquée du 3 mai 2024.

40 Dans la décision attaquée du 3 mai 2024, l’EPSO a indiqué que « en ce qui concern[ait] d’éventuelles données des fichiers journaux autres que celles déjà fournies dans [ses] réponses antérieures, [il] ne p[ouvait] malheureusement que confirmer que de telles données n’exist[ai]ent pas, compte tenu de la technologie ancienne et des capacités limitées de journalisation des systèmes de gestion des données dans lesquels [les] données [du requérant] [avaie]nt [été] enregistrées ».

41 En l’espèce, en réponse à l’argument du requérant selon lequel, en violation de l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501), les fichiers journaux qu’a fournis l’EPSO le 30 novembre 2023 n’indiquaient pas les destinataires des données à caractère personnel le concernant ni la finalité de chaque accès, il convient de constater, à titre liminaire, que ledit arrêt concerne l’article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »), et que ledit article 15 du RGPD est une disposition équivalente à l’article 17 du règlement 2018/1725.

42 Dans ce cadre, il convient de relever que, aux termes de l’article 15, paragraphe 1, du RGPD, la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives, notamment, aux finalités du traitement, en vertu de l’article 15, paragraphe 1, sous a), du RGPD, et aux destinataires ou aux catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées, en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

43 L’article 4, point 9, du RGPD précise que, par « destinataire », il y a lieu de comprendre « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ».

44 À cet égard, il convient de rappeler que les fichiers journaux révèlent l’existence d’un traitement de données auxquelles la personne concernée doit avoir accès en vertu de l’article 15, paragraphe 1, du RGPD. En outre, ils renseignent sur la fréquence et l’intensité des opérations de consultation, permettant ainsi à cette personne de s’assurer que le traitement effectué est effectivement motivé par les finalités avancées par le responsable du traitement. Ces fichiers contiennent aussi les informations relatives à l’identité des personnes ayant procédé aux opérations de consultation (voir, en ce sens, arrêt du 22 juin 2023, Pankki S, C-579/21, EU:C:2023:501, points 70 et 71).

45 Dans ce cadre, s’il résulte de l’article 15, paragraphe 1, sous c), du RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations relatives aux destinataires ou aux catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, les salariés du responsable du traitement ne sauraient être considérés comme des « destinataires » au sens dudit article lorsqu’ils traitent des données à caractère personnel sous l’autorité dudit responsable et conformément à ses instructions (voir, en ce sens, arrêt du 22 juin 2023, Pankki S, C-579/21, EU:C:2023:501, point 73).

46 Or, à supposer que la communication des informations relatives à l’identité des salariés du responsable du traitement à la personne concernée par le traitement soit nécessaire à cette dernière pour s’assurer de la licéité du traitement de ses données à caractère personnel, elle est néanmoins susceptible de porter atteinte aux droits et aux libertés de ces salariés (arrêt du 22 juin 2023, Pankki S, C-579/21, EU:C:2023:501, point 79).

47 Par conséquent, l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que, quand bien même les informations relatives à des opérations de consultation des données à caractère personnel d’une personne, portant sur les dates et les finalités de ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement en vertu de cette disposition, cette dernière ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés dudit responsable ayant procédé à ces opérations sous son autorité et conformément à ses instructions, à moins que ces informations ne soient indispensables pour permettre à la personne concernée d’exercer effectivement les droits qui lui sont conférés par ce règlement et à condition qu’il soit tenu compte des droits et des libertés de ces salariés (arrêt du 22 juin 2023, Pankki S, C-579/21, EU:C:2023:501, point 83).

48 Toutefois, ainsi que la Commission le fait valoir à juste titre, il ne ressort pas de l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501), que l’article 15 du RGPD exige du responsable du traitement qu’il mette en place un système de journalisation contenant des informations relatives à l’identité des salariés ayant procédé à des opérations de consultation des données à caractère personnel d’une personne.

49 Par conséquent, il en va de même pour l’article 17 du règlement 2018/1725, de sorte que le fait que les fichiers journaux auxquels le requérant a demandé l’accès ne comportaient pas d’informations sur les finalités précises de l’accès ou sur les destinataires ou catégories de destinataires des données à caractère personnel ne saurait conduire à une violation dudit article.

50 Il ressort également de l’annexe A.20 de la requête dans l’affaire T-318/24 et de l’annexe A.3 de la requête dans l’affaire T-362/24 que le requérant avait déjà été informé des finalités du traitement ainsi que des destinataires de ses données à caractère personnel.

51 Enfin, eu égard aux considérations rappelées aux points 42 à 47 ci-dessus, les salariés du responsable du traitement ne sauraient être considérés, au sens de l’article 15, paragraphe 1, du RGPD, comme des « destinataires », de sorte que ledit article, tout comme l’article 17 du règlement 2018/1725, ne consacre pas pour le requérant un droit d’obtenir dudit responsable des informations relatives à l’identité des membres du personnel de l’EPSO qui ont consulté son compte EPSO dans le système Talent.

52 Il résulte de ce qui précède que la décision attaquée du 15 avril 2024 et la décision attaquée du 3 mai 2024 ne méconnaissent pas l’article 17, paragraphes 1 et 3, du règlement 2018/1725 et que, partant, il y a lieu de rejeter les arguments du requérant à cet égard.

Sur la violation de l’article 4, paragraphe 1, sous a), d) et f), et paragraphe 2, du règlement 2018/1725

53 Le requérant fait valoir que l’EPSO a violé les principes d’« exactitude », d’« intégrité et [de] confidentialité » ainsi que de « licéité, loyauté et transparence », prévus à l’article 4, paragraphe 1, sous a), d) et f), et paragraphe 2, du règlement 2018/1725. En effet, dans la décision attaquée du 15 avril 2024, l’EPSO n’aurait pas fourni les fichiers journaux, en méconnaissance de l’article 17, paragraphe 1, sous a) et c), dudit règlement, lu à la lumière de l’arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501), et ladite décision ne comporterait pas non plus de copie des données à caractère personnel le concernant en cours de traitement, en méconnaissance de l’article 17, paragraphe 3, du même règlement. Par ailleurs, dans la décision attaquée du 3 mai 2024, l’EPSO aurait ignoré sa demande de restaurer les données à caractère personnel le concernant, lesquelles auraient d’ailleurs été illégalement supprimées. Enfin, l’EPSO n’aurait pas fourni d’éléments de preuve démontrant qu’il ne disposait pas de fichiers journaux ou de données réputées nécessaires en application du principe de responsabilité prévu par le règlement 2018/1725 et de l’injonction du CEPD ni d’éléments de preuve démontrant que des données à caractère personnel le concernant relatives à trois procédures de sélection avaient été supprimées.

54 La Commission conteste ces arguments.

55 À cet égard, il convient de rappeler que les données à caractère personnel doivent être traitées, aux termes de l’article 4, paragraphe 1, sous a), du règlement 2018/1725, « de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) », que, aux termes de l’article 4, paragraphe 1, sous d), de ce règlement, elles doivent être exactes et, si nécessaire, tenues à jour en prenant toutes les mesures raisonnables pour que celles qui sont inexactes « soient effacées ou rectifiées sans tarder (exactitude) », et que, aux termes de l’article 4, paragraphe 1, sous f), du même règlement, elles doivent être traitées de façon à leur garantir une sécurité appropriée, « y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ». L’article 4, paragraphe 2, dudit règlement énonce que le responsable du traitement est responsable du respect du paragraphe 1 et doit être en mesure de démontrer que celui-ci est respecté (responsabilité).

56 Tout d’abord, il ressort des points 38 à 51 ci-dessus que, dans le cadre de la décision du 15 avril 2024, l’EPSO a fourni au requérant toutes les informations disponibles dans les fichiers journaux auxquels ce dernier avait demandé l’accès. En outre, en ce qui concerne la communication d’une copie des données à caractère personnel concernant le requérant en cours de traitement, il ressort des points 28 à 37 ci-dessus que, dans ladite décision, l’EPSO a indiqué au requérant qu’aucune donnée à caractère personnel le concernant ne figurait dans les documents sollicités. Partant, il convient de conclure que la décision du 15 avril 2024 n’est pas entachée d’une violation de l’article 4, paragraphe 1, sous a), d) et f), et paragraphe 2, du règlement 2018/1725.

57 Par ailleurs, s’agissant de la décision du 3 mai 2024, il convient de constater, premièrement, qu’il découle du règlement 2018/1725 que la durée pendant laquelle les données à caractère personnel sont conservées n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées [article 4, paragraphe 1, sous e)], que les responsables du traitement suppriment de telles données une fois qu’elles ne sont plus nécessaires [article 19, paragraphe 1, sous a)] et qu’un traitement, tel qu’une suppression, est licite s’il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis [article 5, paragraphe 1, sous b)].

58 En outre, comme la Commission l’a indiqué sans être contestée par le requérant, ce dernier était au courant que la période de conservation qui s’appliquait aux données à caractère personnel le concernant était bien de deux ans, ce qui est confirmé par le fait qu’il y a fait référence dans sa demande du 1^er février 2024, laquelle a mené à la décision attaquée du 3 mai 2024. Il convient également de noter que le requérant ne s’est pas non plus opposé au traitement desdites données pendant cette période.

59 Il s’ensuit que le requérant n’a pas démontré que les données à caractère personnel le concernant avaient été illégalement supprimées.

60 Deuxièmement, comme la Commission le fait valoir à juste titre, aucune disposition du règlement 2018/1725 ne prévoit une quelconque obligation du responsable du traitement de rétablir les données à caractère personnel supprimées, de sorte qu’il était loisible à l’EPSO de rejeter la demande du requérant à cet égard (voir points 28 et 29 ci-dessus).

61 Troisièmement, conformément à la présomption de légalité qui s’attache aux actes de l’Union, l’inexistence de données auxquelles l’accès a été demandé est présumée lorsqu’une affirmation en ce sens est faite par l’institution concernée. Il s’agit néanmoins d’une présomption simple que le demandeur d’accès peut renverser par tous moyens, sur la base d’indices pertinents et concordants. Si cette présomption est renversée et que ladite institution ne peut plus s’en prévaloir, il lui appartient de prouver l’inexistence ou la non-possession des données demandées en fournissant des explications plausibles permettant de déterminer les raisons d’une telle inexistence ou non-possession (voir, par analogie, arrêt du 13 novembre 2024, Kargins/Commission, T-110/23, non publié, EU:T:2024:805, points 27 et 28 et jurisprudence citée).

62 Or, en l’espèce, il y a lieu de rappeler que la Commission a indiqué, dans la décision attaquée du 3 mai 2024, qu’elle ne disposait d’aucun fichier journal ni d’aucune autre donnée réputée nécessaire en application du principe de responsabilité prévu par le règlement 2018/1725 et de l’injonction du CEPD autres que ceux qui avaient déjà été transmis au requérant à ce titre. Afin de contester cette affirmation, le requérant se contente de lister des documents qui contiendraient des données à caractère personnel le concernant. Or, cela ne saurait venir renverser la présomption de légalité évoquée au point 61 ci-dessus. Par conséquent, à l’instar de la Commission, il y a lieu de conclure que l’EPSO n’était tenu d’apporter aucun élément de preuve à cet égard (voir point 40 ci-dessus).

63 Dans ces circonstances, il y a lieu de conclure que l’EPSO n’a pas violé l’article 4, paragraphe 1, sous a), d) et f), et paragraphe 2, du règlement 2018/1725 en ce qui concerne la décision attaquée du 3 mai 2024.

Sur la violation des articles 20 et 23 du règlement 2018/1725

64 Le requérant fait valoir que la décision attaquée du 3 mai 2024 ne mentionne pas sa demande du 1^er février 2024 ni ne donne suite à cette dernière quant au respect de ses droits d’opposition et de limitation (voir point 13 ci-dessus) et que, partant, l’EPSO a violé les articles 20 et 23 du règlement 2018/1725.

65 En particulier, le requérant avance que, dans sa demande du 1^er février 2024, il a informé l’EPSO du traitement illicite au titre de l’article 20, paragraphe 1, sous b), du règlement 2018/1725 et il s’est opposé au traitement de ses données à caractère personnel, conformément à l’article 20, paragraphe 1, sous d), dudit règlement.

66 La Commission conteste ces arguments.

67 À cet égard, il convient de relever que l’article 20, paragraphe 1, sous b) et d), du règlement 2018/1725 prévoit que la personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque ce traitement est illicite et lorsque la personne concernée s’oppose à l’effacement des données et exige à la place la limitation de leur utilisation [article 20, paragraphe 1, sous b), de ce règlement] ou lorsque la personne concernée s’est opposée au traitement en vertu de l’article 23, paragraphe 1, du même règlement pendant la vérification portant sur la question de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalaient sur ceux de la personne concernée [article 20, paragraphe 1, sous d), dudit règlement]. L’article 23 du même règlement prévoit le droit d’opposition dont dispose toute personne concernée et les modalités de son exercice.

68 En l’espèce, s’agissant de la prétendue violation de l’article 20, paragraphe 1, sous b), du règlement 2018/1725, il ressort de la demande d’accès du 1^er février 2024 que le traitement illicite invoqué par le requérant pour obtenir, conformément à cet article, une limitation dudit traitement consistait en la suppression des données à caractère personnel le concernant.

69 Dans ce cadre, à titre liminaire, il convient de constater que, conformément à l’article 3, point 3), du règlement 2018/1725, la suppression de données à caractère personnel est considérée comme un traitement desdites données.

70 Or, ainsi qu’il est indiqué aux points 57 à 59 ci-dessus, la suppression des données à caractère personnel concernant le requérant était conforme à l’article 4, paragraphe 1, sous e), et à l’article 19, paragraphe 1, sous a), du règlement 2018/1725, l’EPSO n’étant pas, par ailleurs, tenu de procéder à la restauration desdites données.

71 Il résulte de ce qui précède qu’il n’y a eu aucun traitement illicite par l’EPSO et, partant, aucune violation de l’article 20, paragraphe 1, sous b), du règlement 2018/1725.

72 S’agissant de la prétendue violation de l’article 20, paragraphe 1, sous d), du règlement 2018/1725, il convient de constater, à l’instar de la Commission, que ledit article présuppose que le requérant avait le droit de s’opposer à la suppression des données à caractère personnel le concernant en vertu de l’article 23, paragraphe 1, dudit règlement.

73 Or, l’article 23, paragraphe 1, du règlement 2018/1725 ne s’applique qu’au traitement de données à caractère personnel fondé sur l’article 5, paragraphe 1, sous a), dudit règlement, alors que, en l’espèce, la suppression des données à caractère personnel était fondée sur l’article 5, paragraphe 1, sous b), dudit règlement (voir point 57 ci-dessus), de sorte que l’article 20, paragraphe 1, sous d), du même règlement n’était pas applicable.

74 Il résulte de ce qui précède qu’aucune violation de l’article 20, paragraphe 1, sous d), ne peut être reprochée à la Commission, de sorte qu’il convient de rejeter les arguments du requérant à ce titre.

Sur la violation de l’article 14, paragraphes 1 à 3, du règlement 2018/1725

75 Dans l’affaire T-318/24, le requérant soutient que, dans la décision attaquée du 15 avril 2024, la Commission a violé l’article 14, paragraphe 3, du règlement 2018/1725, en ce que l’EPSO n’a pas expliqué la raison pour laquelle il avait répondu à sa demande après l’écoulement du délai visé dans ledit article.

76 Dans l’affaire T-362/24, le requérant fait valoir que la décision attaquée du 3 mai 2024 ne respecte pas l’article 14, paragraphes 1 à 3, du règlement 2018/1725 en soulevant à cet égard six griefs, tirés de ce que, premièrement, l’EPSO n’aurait fourni aucune des données à caractère personnel demandées, deuxièmement, l’EPSO n’aurait pas facilité l’exercice des droits que la personne concernée tirait des articles 17 à 24 du règlement 2018/1725, troisièmement, l’EPSO n’aurait pas expliqué la raison pour laquelle il avait reporté l’adoption de ladite décision, quatrièmement, l’EPSO n’aurait pas respecté ses droits de limitation au sens de l’article 20 dudit règlement, cinquièmement, l’EPSO n’aurait pas respecté ses droits d’opposition au sens de l’article 23 du même règlement et, sixièmement, l’EPSO aurait répondu plus de trois mois après la demande d’accès du 1^er février 2024.

77 La Commission conteste ces arguments.

78 À cet égard, en ce qui concerne le premier grief, soulevé par le requérant dans l’affaire T-362/24, il convient de renvoyer aux points 28 à 51 ci-dessus, sur la base desquels il a été conclu que l’EPSO avait agi conformément à l’article 17, paragraphes 1 et 3, du règlement 2018/1725. Par ailleurs, les quatrième et cinquième griefs soulevés par le requérant dans ladite affaire sont tirés de prétendues violations des articles 20 et 23 du règlement 2018/1725, lesquels, comme cela a été constaté aux points 67 à 74 ci-dessus, n’ont pas été violés.

79 En outre, s’agissant du deuxième grief, invoqué par le requérant dans l’affaire T-362/24, force est de constater que ce dernier n’expose aucune argumentation à l’appui de son allégation selon laquelle l’EPSO n’a pas facilité l’exercice des droits que la personne concernée tirait des articles 17 à 24 du règlement 2018/1725, de sorte que ledit grief doit être rejeté.

80 Au vu de ce qui précède, il convient de constater qu’aucune violation de l’article 14, paragraphes 1 à 3, du règlement 2018/1725 ne peut être relevée en ce qui concerne les premier, deuxième, quatrième et cinquième griefs invoqués par le requérant dans l’affaire T-362/24.

81 Enfin, s’agissant de l’unique grief soulevé par le requérant dans l’affaire T-318/24 ainsi que des troisième et sixième griefs soulevés par celui-ci dans l’affaire T-362/24, relatifs au délai qui s’est écoulé entre, d’une part, la demande du 4 janvier 2024 et la décision attaquée du 15 avril 2024 et, d’autre part, la demande du 1^er février 2024 et la décision attaquée du 3 mai 2024, il convient de constater que, même s’il est vrai que lesdites décisions ont été adoptées après l’expiration du délai prévu à l’article 14, paragraphes 3 et 4, du règlement 2018/1725, cette circonstance n’entraîne pas, par elle-même, leur illégalité (voir, par analogie, arrêt du 19 janvier 2010, Co-Frutta/Commission, T-355/04 et T-446/04, EU:T:2010:15, points 58 et 59).

82 Il résulte de ce qui précède qu’il y a lieu de rejeter l’ensemble des arguments du requérant tirés d’une violation de l’article 14, paragraphes 1 à 3, du règlement 2018/1725 et, partant, le recours dans son ensemble.

Sur les dépens

83 Aux termes de l’article 134, paragraphe 1, du règlement de procédure, toute partie qui succombe est condamnée aux dépens, s’il est conclu en ce sens.

84 Le requérant ayant succombé, il y a lieu de le condamner aux dépens, conformément aux conclusions de la Commission.

Par ces motifs,

LE TRIBUNAL (dixième chambre)

déclare et arrête :

1) Les affaires T-318/24 et T-362/24 sont jointes aux fins de l’arrêt.

2) Les recours sont rejetés.

3) WS est condamné aux dépens.

Ainsi prononcé en audience publique à Luxembourg, le 3 décembre 2025.

Signatures

* Langue de procédure : l’anglais.

1 Données confidentielles occultées