C/2026/933

23.2.2026

1)

Convient-il d’interpréter l’article 55, paragraphe 1, l’article 56, paragraphe 1, l’article 57, paragraphe 1, l’article 58, paragraphes 1 et 2, ainsi que l’article 60 du règlement général sur la protection des données (1) (ci-après le «RGPD») en ce sens qu’ils font obstacle à une pratique nationale suivant laquelle l’autorité de contrôle ne peut plus statuer sur une réclamation concernant un traitement transfrontalier de données et/ou adopter de mesures correctrices en vertu de l’article 58, paragraphe 2, de ce règlement dès lors que le délai de prescription de deux ans prévu en droit national pour l’imposition d’amendes administratives a expiré?

2)

L’article 57, paragraphe 1, sous f), et l’article 58, paragraphes 1 et 2, du RGPD doivent-ils être interprétés en ce sens que, lorsqu’elle a été saisie par une personne concernée d’une réclamation portant sur une infraction précisément identifiée dans la réclamation, l’autorité de contrôle peut (ou doit) également statuer sur les autres infractions à ce règlement qui se sont révélées au cours de l’examen de la réclamation et sont liées au même traitement de données, ou l’autorité de contrôle doit-elle se limiter au seul objet de la réclamation?

3)

Y a-t-il lieu d’interpréter l’article 57, paragraphe 1, sous f), du RGPD en ce sens qu’il impose à l’autorité de contrôle, ayant reçu une réclamation d’une personne concernée, de définir clairement les limites de l’examen de la réclamation et d’indiquer au responsable du traitement quelles informations précises il lui est demandé de fournir pour assurer le bon traitement de la réclamation?

4)

Faut-il interpréter l’article 5, paragraphe 2, et l’article 24 du RGPD en ce sens que, en application du principe de responsabilité, le responsable du traitement doit, pendant toute la durée de la procédure réclamation, conserver toutes les données relatives à la personne concernée ayant introduit la réclamation qu’il détient, y compris des données qui ne font pas directement l’objet de la réclamation traitée par l’autorité de contrôle, et que cette conservation doit être considérée comme étant compatible avec le principe de minimisation des données énoncé à l’article 5, paragraphe 1, sous c), de ce règlement ainsi qu’avec le principe de limitation de la conservation consacré à l’article 5, paragraphe 1, sous e), dudit règlement?

5)

Convient-il d’interpréter l’article 5, paragraphe 1, sous a), ainsi que l’article 12, paragraphes 1 et 4, du RGPD en ce sens que, lorsqu’une personne concernée présente une demande d’effacement de ses données à caractère personnel en application de l’article 17 du RGPD, sans autres précisions, le responsable du traitement peut refuser d’effacer les données et n’est pas tenu d’informer la personne concernée de ce qu’il a procédé de sa propre initiative à une appréciation de l’existence d’un motif d’effacement prévu à l’article 17, paragraphe 1, du RGPD? Par ailleurs, convient-il d’interpréter le principe de transparence, consacré à l’article 5, paragraphe 1, sous a), du RGPD et aux dispositions combinées de l’article 12, paragraphes 1 et 4, du RGPD, en ce sens que, en cas de refus d’effacer des données à caractère personnel conformément à une demande fondée sur l’article 17 du RGPD, il impose au responsable du traitement d’informer la personne concernée de toutes les raisons pour lesquelles ses données seront traitées, y compris la finalité des activités restantes de traitement des données, les catégories de données concernées, les opérations de traitement qui seront accomplies et le motif légitime justifiant le traitement?

6)

Faut-il interpréter l’article 5, paragraphe 1, sous a), l’article 6, paragraphe 1, sous f), l’article13, paragraphe 1, sous d), ainsi que l’article 14, paragraphe 3, sous a), et paragraphe 5, du RGPD en ce sens qu’il convient de considérer que le responsable du traitement s’est acquitté, d’une façon conforme au principe de transparence, de son obligation de fournir à la personne concernée des informations sur le traitement des données à caractère personnel effectué en conséquence du bannissement furtif de cette dernière lorsque le responsable du traitement indique dans sa politique de confidentialité que, en cas de blocage pour non-respect des règles de la plateforme (sans que les différents types de blocage possibles, parmi lesquels le bannissement furtif, soient nommés), des données à caractère personnel (dont le motif du blocage, sa durée et les données de profil) seront traitées au titre d’un intérêt légitime de protéger la plateforme, ses utilisateurs et ses membres et d’en garantir la sécurité, mais la personne concernée n’est pas individuellement informée du traitement de ses données à caractère personnel effectué en conséquence du bannissement furtif, que ce soit préalablement à ce traitement ou par la suite, et que ce n’est qu’à l’issue du bannissement furtif (d’une durée maximale de 30 jours) et après qu’un blocage complet a été mis en œuvre que des informations sur le traitement des données à caractère personnel effectué en conséquence du blocage (du blocage complet, non du bannissement furtif) sont fournies à la personne concernée? En cas de réponse négative à cette question, convient-il d’interpréter l’article 14, paragraphe 5, sous b), du RGPD en ce sens que le responsable du traitement peut se prévaloir de la dérogation à l’obligation d’information prévue à cette disposition lorsque le traitement des données est effectué aux fins poursuivies par le bannissement furtif?

7)

Y a-t-il lieu d’interpréter l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, sous f), du RGPD en ce sens que le comportement du responsable du traitement, consistant à traiter les données à caractère personnel d’un utilisateur à des fins de bannissement furtif sans informer la personne concernée de ce traitement, mais dans le but de protéger la plateforme, ses utilisateurs et ses membres, peut être considéré répondre aux exigences de licéité du RGPD?