Commentaires • 2
pendant 7 jours
Sur la décision
| Référence : | CJUE, 18 juin 2026, C-185/25 |
|---|---|
| Numéro(s) : | C-185/25 |
| Conclusions de l'avocat général M. R. Norkus, présentées le 18 juin 2026.### | |
| Identifiant CELEX : | 62025CC0185 |
| Identifiant européen : | ECLI:EU:C:2026:505 |
Sur les parties
| Avocat général : | Norkus |
|---|
Texte intégral
Édition provisoire
CONCLUSIONS DE L’AVOCAT GÉNÉRAL
NORKUS
présentées le 18 juin 2026 (1)
Affaire C-185/25 [Waldfelber] (i)
RS
contre
TS
[demande de décision préjudicielle formée par l’Oberster Gerichtshof (Cour suprême, Autriche)]
Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 4, point 7 – Notion de « responsable du traitement » – Personne physique agissant en qualité de dirigeant d’un organisme public – Directeur d’une école – Détermination des finalités et des moyens du traitement des données à caractère personnel – Données à caractère personnel dans un courriel envoyé par le chef d’établissement à partir de son adresse électronique professionnelle – Article 15, paragraphe 1, sous g) – Droit d’accès de la personne concernée à « toute information disponible » – Données à caractère personnel consistant en une opinion relative à la personne concernée – Opinion fondée sur une discussion avec un tiers – Droit d’accès de la personne concernée aux informations relatives à l’identité du tiers – Article 82 – Droit à réparation et responsabilité – Préjudice prétendument causé par une violation du droit d’accès – Exclusion de la responsabilité du directeur d’établissement – Validité de l’exclusion
I. Introduction
1. La présente affaire concerne une situation qui n’est pas rare sur le lieu de travail. Une personne physique, agissant en qualité d’employé ou de mandataire d’une entité juridique de droit privé ou de droit public, demande à un tiers, lors d’une conversation, de donner son opinion au sujet d’une personne choisie pour pourvoir un poste au sein de cette entité. À la suite de cette discussion, l’employé ou le mandataire envoie un courriel depuis son adresse électronique professionnelle à la personne chargée de proposer le candidat, en demandant qu’une autre personne soit proposée à la place de celle qui avait été choisie.
2. La personne désignée pour pourvoir le poste prend connaissance du courriel et cherche à connaître l’identité du tiers. Cette personne peut-elle obtenir ces informations sur la base du règlement (UE) 2016/679 (2), et plus spécifiquement de son article 15, paragraphe 1, sous g) ?
3. En vertu de cette dernière disposition, la personne concernée (à savoir, la personne physique identifiée ou identifiable dont les données à caractère personnel (3) ont fait l’objet d’un traitement) (4) a le droit d’obtenir « toute information disponible quant à [la] source » de ses données à caractère personnel de la part du « responsable du traitement », lorsque ces données à caractère personnel ne sont pas collectées auprès de la personne concernée elle-même. En l’espèce, le prétendu « responsable du traitement » (TS, défendeur au principal) est le directeur d’une école primaire en Autriche. En cette qualité, il organise des programmes de formation continue destinés aux enseignants de son établissement. Ces programmes sont gérés par la Pädagogische Hochschule (centre de formation des enseignants), avec l’aide de « coordinateurs de programmes » (« Prozessbegleiter »).
4. La personne concernée (RS, requérant au principal) est l’un de ces coordinateurs de programme. TS ayant été informé qu’un prochain programme de formation destiné aux enseignants de son établissement serait coordonné par RS, il s’est enquis de la réputation de celui-ci auprès d’un tiers. Sur la base des informations qui lui ont été fournies, TS a adressé un courriel au centre de formation des enseignants à partir de son adresse professionnelle, dans lequel il demandait qu’un autre coordinateur de programme soit désigné à sa place. RS, se fondant sur l’article 15, paragraphe 1, sous g), du RGPD, souhaite connaître l’identité du tiers qui a tenu des propos négatifs à son sujet.
5. Dans ce contexte, l’Oberster Gerichtshof (Cour suprême, Autriche) sollicite des éclaircissements quant à la portée de cette disposition. Il s’interroge également, à titre liminaire, sur la question de savoir si une personne telle que TS peut être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD. Enfin, il souhaite savoir si les conséquences négatives qui résultent de la violation de l’obligation de fournir des informations prévue à l’article 15, paragraphe 1, du RGPD peuvent constituer un « dommage causé par le traitement qui constitue une violation [de ce] règlement », au sens de l’article 82, paragraphe 2, du même règlement et entraîner l’obligation pour le responsable du traitement de réparer le préjudice subi. Il demande également si, dans une telle situation, l’article 82 du RGPD s’oppose à l’application d’une législation nationale qui exclut la responsabilité des personnes agissant en tant qu’« organes » de certaines entités juridiques de droit public (comme c’est le cas, en l’espèce, de TS) pour un tel dommage.
II. Cadre juridique
A. Le droit de l’Union
6. Le considérant 63 du RGPD s’énonce comme suit :
« Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité […] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage[…] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée […] ».
7. L’article 4, point 7, de ce règlement définit le « responsable du traitement » comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ».
8. L’article 15, paragraphe 1, sous g), du RGPD accorde à la personne concernée « le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que […] lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ».
9. En vertu de l’article 82, paragraphe 1, RGPD, « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi ». Conformément au paragraphe 2 de cet article, « [t]out responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du présent règlement ». Il est ensuite précisé qu’« [u]n sous-traitant n’est tenu pour responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».
B. Le droit autrichien
10. Le chapitre I (intitulé « Responsabilité civile ») du Bundesgesetz über die Haftung der Gebietskörperschaften und der sonstigen Körperschaften und Anstalten des öffentlichen Rechts für in Vollziehung der Gesetze zugefügte Schäden (Amtshaftungsgesetz) [loi fédérale sur la responsabilité des collectivités locales et autres personnes morales et établissements de droit public pour les préjudices causés dans l’exécution des lois (loi sur la responsabilité administrative)], du 18 décembre 1948 (BGBl., 20/1949), dans sa version applicable au litige au principal, contient l’article 1er, paragraphe 1, qui est libellé comme suit,
« L’État fédéral, les Länder, les communes, les autres personnes morales de droit public et les organismes de sécurité sociale (ci-après les “entités juridiques”) répondent, selon les dispositions du droit civil, du préjudice patrimonial ou corporel causé à quiconque du fait du comportement illégal et fautif des personnes agissant, en tant qu’organes des entités juridiques susmentionnées, en exécution des lois ; l’organe n’est pas responsable à l’égard de la victime. La réparation du préjudice est nécessairement pécuniaire. »
11. En vertu de l’article 9, paragraphe 5, de cette loi, (qui figure dans le chapitre II, intitulé « Procédure ») « [l]a personne ayant subi un dommage causé par un organe d’une entité juridique visée à l’article 1er de la présente loi fédérale qui agissait en exécution des lois ne peut pas demander réparation à l’organe concerné par un recours de droit commun ».
III. Les faits, la procédure au principal et les questions préjudicielles
12. TS, défendeur au principal, est le directeur d’une école primaire en Autriche. En cette qualité, il organise des programmes de formation continue pour les enseignants de l’école, qui sont soumis à une obligation légale d’y assister.
13. Le centre de formation des enseignants dispense les programmes de formation en question. En particulier, il met à la disposition des écoles du personnel de coordination (coordinateurs de programme) spécialement sélectionné pour faciliter la mise en œuvre de ces programmes.
14. Après avoir été informé que RS, requérant au principal, avait été proposé par le centre de formation des enseignants en tant que coordinateur d’un prochain programme de formation pour les enseignants de son école, TS s’est renseigné sur la réputation de RS lors d’une conversation en personne avec un enseignant (ci-après le « tiers »).
15. Quelques jours après cette conversation avec le tiers, TS a envoyé un courriel depuis son adresse électronique – dont il se sert exclusivement à des fins professionnelles –, en utilisant un ordinateur de l’établissement et un serveur spécialement désigné, à un employé du centre de formation des enseignants, courriel dans lequel il demandait l’attribution d’un autre coordinateur de programme (ci-après le « courriel en cause »). Il fondait sa demande sur les informations relatives à RS qu’il avait obtenues du tiers, selon lesquelles RS remettait en cause le système scolaire public et était en conflit permanent avec l’autorité scolaire compétente.
16. TS n’avait établi aucune note ni aucun autre document concernant la conversation avec ce tiers. Il n’a d’aucune autre manière diffusé les informations obtenues lors de cette conversation. À l’exception du courriel en cause lui-même, il n’existe aucune trace écrite des données à caractère personnel concernant RS qui y figurent.
17. Lorsque RS a pris connaissance du contenu du courriel en cause, il s’est plaint auprès de TS. Il a demandé que lui soient fournies certaines informations concernant, entre autres, l’identité du tiers, conformément à l’article 15, paragraphe 1, du RGPD et qu’une copie des données à caractère personnel le concernant que TS avait traitées dans ce courriel lui soit transmise.
18. Le même jour, TS a informé RS par courriel qu’il n’avait jamais détenu de données à caractère personnel le concernant ni communiqué de telles données à quelque personne que ce soit. TS a déclaré qu’il s’était contenté de faire part de ses préoccupations quant à la sélection de RS en tant que coordinateur de programme pour le programme de formation auquel les enseignants de son établissement étaient censés participer.
19. RS a ensuite engagé une procédure judiciaire en vue d’obtenir une ordonnance imposant à TS de lui fournir certaines informations concernant, entre autres, l’identité du tiers, conformément à l’article 15, paragraphe 1, sous g), du RGPD, ainsi qu’une copie des données à caractère personnel le concernant. Il demandait aussi la condamnation de TS à lui verser la somme de 800 euros à titre de réparation du préjudice extrapatrimonial en raison de la prétendue violation de son droit d’information, prévu à l’article 15 du RGPD. TS s’est opposé à cette action au motif que seule l’entité juridique dont dépend l’école pour le compte de laquelle il avait agi était susceptible de voir sa responsabilité engagée et qu’il n’avait ni traité ni conservé les données à caractère personnel de RS.
20. La juridiction saisie en première instance a rejeté la demande de RS. Cette décision a ensuite été confirmée par la juridiction d’appel compétente. Les deux juridictions ont considéré, en substance, que TS avait agi en tant qu’organe pour le compte de l’entité juridique dont dépendait l’école, et que les moyens de traitement des données à caractère personnel (serveur spécifique, adresse électronique professionnelle) avaient été déterminés pour lui. À la lumière de ces éléments, elles ont jugé qu’il serait contraire à la loi sur la responsabilité administrative de qualifier TS de « responsable du traitement » au sens du RGPD. La juridiction saisie en appel a en outre considéré que, en tout état de cause, il n’existait aucune obligation de conserver une trace écrite du nom du tiers et, partant, aucune obligation de communiquer des informations sur l’identité de ce tiers.
21. RS a saisi l’Oberster Gerichtshof (Cour suprême, Autriche), qui est la juridiction de renvoi, d’un pourvoi en « Revision » contre l’arrêt de la juridiction d’appel.
22. Nourrissant des doutes quant à l’interprétation correcte de l’article 4, point 7, de l’article 15, paragraphe 1, sous g), et de l’article 82 du RGPD, la juridiction de renvoi a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 4, point 7, du [RGPD] doit-il être interprété en ce sens qu’une personne physique qui, lorsqu’elle traite des données à caractère personnel dans l’exercice de ses fonctions et par des moyens mis à sa disposition et qui ont été déterminés pour elle, agit non pas dans son intérêt personnel, mais en tant que directeur d’une organisation (service ou autre organisme sans personnalité morale), laquelle, toutefois, dépend d’[une entité juridique], est un “responsable du traitement” susceptible d’être attrait en justice ?
2) a) L’article 15, paragraphe 1, sous g), du RGPD doit-il être interprété en ce sens que, lorsque les données traitées consistent en une déclaration factuelle ou un jugement de valeur sur la personne concernée dans un courrier électronique, les termes “toute information disponible quant à leur source” visent uniquement l’auteur de ce courrier électronique, ou faut-il inclure également le cercle de personnes avec lesquelles l’auteur a parlé de la personne concernée ?
2) b) Dans l’hypothèse où les noms non sauvegardés de tels interlocuteurs constitueraient une “information disponible quant à [la] source” des données, au sens de l’article 15, paragraphe 1, sous g), du RGPD : lors de la mise en balance des intérêts de la personne concernée par le traitement des données avec ceux d’un tel interlocuteur, le fait que ce dernier ne pouvait pas prévoir que ses déclarations feraient l’objet d’un traitement de données a-t-il une importance ?
3) L’article 82, paragraphe 2, du RGPD doit-il être interprété en ce sens que les conséquences négatives, pour la personne concernée, qui résultent de la seule violation, postérieure au traitement de ses données à caractère personnel, de son droit d’accès aux informations prévu à l’article 15, paragraphe 1, de ce règlement, sont un dommage causé par le “traitement qui constitue une violation du présent règlement” et entraînent l’obligation pour le responsable du traitement de réparer le préjudice subi ?
4) Dans l’hypothèse où la première ou la troisième question appelleraient une réponse affirmative : l’article 82 du RGPD s’oppose-t-il à l’application de dispositions nationales en vertu desquelles la réparation du dommage causé à une personne lésée par un organe d’[une entité juridique], agissant dans le cadre d’une compétence administrative de mise en œuvre de la loi, ne peut être réclamée à l’organe lui-même ? »
23. La demande de décision préjudicielle, datée du 18 février 2025, a été déposée au greffe de la Cour le 7 mars 2025. Le requérant au principal, les gouvernements autrichien et italien ainsi que la Commission ont présenté des observations écrites. Il n’a pas été tenu d’audience.
IV. Appréciation
24. Le RGPD a été adopté dans le but d’établir « un cadre de protection des données solide […] dans l’Union » (5), en « renfor[çant] et […] précis[ant] les droits des personnes concernées et les obligations de ceux qui effectuent […] le traitement des données à caractère personnel » (6), et en assurant, notamment, que les personnes physiques bénéficient d’un « niveau […] élevé de protection » (7) et aient « le contrôle des données à caractère personnel les concernant » (8). À cette fin, les articles 12 à 15 du RGPD accordent aux personnes concernées le droit de recevoir certaines informations concernant, entre autres, le traitement (9) des données à caractère personnel les concernant ainsi que les catégories de données à caractère personnel et les destinataires concernés. Comme je l’ai expliqué dans l’introduction, en vertu de l’article 15, paragraphe 1, sous g), de ce règlement, lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, cette dernière est également en droit d’obtenir « toute information disponible quant à [la] source » de ces données. L’obligation de fournir ces informations incombe directement au « responsable du traitement » (10).
25. Dans le même temps, le considérant 4 du RGPD énonce que le droit à la protection des données à caractère personnel, qui est consacré à l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») « n’est pas un droit absolu » et « doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux », y compris le droit à la liberté de pensée et à la liberté d’expression.
26. Il s’ensuit qu’il existe des limites aux différents droits que les personnes concernées tirent du RGPD et qui visent à donner un effet utile au droit à la protection des données à caractère personnel, y compris le droit d’information prévu à l’article 15, paragraphe 1, de ce règlement.
27. La présente affaire porte précisément sur les limites de ce droit et, plus spécifiquement, sur la mesure dans laquelle une personne concernée (en l’occurrence, RS, requérant au principal) est en droit d’obtenir des informations du responsable du traitement quant à la « source » des données à caractère personnel la concernant, en vertu de l’article 15, paragraphe 1, sous g), du RGPD. Lorsque ces données ont été produites par le responsable du traitement à la suite d’une conversation avec un tiers (comme c’est le cas dans la procédure au principal), la personne concernée a-t-elle droit à la communication de l’identité du tiers ?
28. J’examinerai cette problématique, qui correspond en substance à la deuxième question préjudicielle posée par l’Oberster Gerichtshof (Cour suprême), dans la section B ci-dessous. Avant cela, je préciserai tout d’abord, en réponse à la première question, s’il convient de considérer une personne physique qui (comme TS) traite des données à caractère personnel, non pas dans son intérêt personnel, mais dans l’exercice de ses fonctions de directeur d’une organisation (en l’espèce, une école) et par des moyens mis à sa disposition et qui ont été déterminés pour elle par une telle organisation, comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD (section A).
29. Enfin, j’aborderai la troisième et la quatrième questions, qui concernent le droit à réparation des personnes concernées, conformément à l’article 82 du RGPD. Plus précisément, la troisième question porte sur la question de savoir si les conséquences négatives qui résultent de la violation de l’obligation de fournir des informations prévue à l’article 15, paragraphe 1, du RGPD peuvent constituer un « dommage causé par le traitement qui constitue une violation [de ce] règlement », au sens de l’article 82, paragraphe 2, du même règlement (section C). La quatrième question invite la Cour à examiner si cet article s’oppose à l’application de règles nationales qui prévoient que des personnes agissant en tant qu’« organes » – c’est-à-dire pour le compte – de certaines entités juridiques de droit public ne sauraient être tenues pour responsables du dommage causé aux personnes concernées en leur qualité de responsables du traitement ou de sous-traitants (section D).
A. La notion de « responsable du traitement » (article 4, point 7, du RGPD) (première question préjudicielle)
30. L’article 4, point 7, du RGPD décrit deux cas de figure dans lesquels une « personne physique ou morale, [une] autorité publique, [un] service ou un autre organisme » peuvent être considérés comme des « responsables du traitement ». En effet, conformément à la deuxième phrase de cette disposition, « le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre » (il s’agit du premier cas de figure) (11). Le deuxième cas de figure se présente lorsque, à la suite d’une appréciation des faits pertinents, la personne en question est réputée « seul[e] ou conjointement avec d’autres, détermine[r] les finalités et les moyens du traitement ». La Cour a suggéré que, pour remplir ce critère, une personne physique ou morale devait effectivement « influe[r] […] sur le traitement des données à caractère personnel » (12). Il s’ensuit qu’une personne physique ou morale, une autorité publique, un service ou un autre organisme qui est en fait en mesure de déterminer les finalités et les moyens du traitement sera considéré comme un « responsable du traitement », indépendamment de la question de savoir s’il a été formellement désignée comme telle (par la loi, par un contrat ou d’une autre manière) (13).
31. La première question de la juridiction de renvoi porte sur ce deuxième cas de figure. En effet, cette juridiction indique que le droit autrichien désigne expressément les directeurs d’écoles primaires en tant que « responsables du traitement » seulement à l’égard des données à caractère personnel concernant les élèves. La procédure au principal ne concerne pas le traitement de telles données. Comme je l’ai déjà expliqué, elle concerne le traitement, par le directeur d’une école primaire (TS), des données à caractère personnel d’une personne (RS) qui avait été sélectionnée pour coordonner un programme de formation pour les enseignants de l’école en question.
32. L’Oberster Gerichtshof (Cour suprême) considère les circonstances suivantes comme étant pertinentes pour déterminer si TS peut être considéré comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD : TS agissait dans l’exercice de ses fonctions ; il a traité les données à caractère personnel non pas dans son intérêt personnel, mais dans l’intérêt de l’école et il l’a fait par des moyens mis à sa disposition et qui ont été déterminés pour lui (en utilisant son adresse électronique professionnelle, un ordinateur de l’école et un serveur spécialement désigné).
33. RS conteste l’exactitude des faits présentés par la juridiction de renvoi. Il fait valoir que les moyens employés par TS pour collecter les données à caractère personnel en cause (la conversation avec le tiers) n’avaient pas été déterminés pour lui, que TS pouvait avoir poursuivi des fins propres en collectant ces données auprès du tiers et en envoyant le courriel en cause (qui contenait les données à caractère personnel) et que cet ensemble d’opérations de traitement n’était, en tout état de cause, ni « normal » ni nécessaire à l’exercice par TS de ses fonctions de directeur d’école. Selon RS, TS a donc a outrepassé la marge de manœuvre qui lui est accordée et il a agi hors du cadre de ses fonctions en vertu du droit autrichien.
34. Je rappelle que, dans le cadre d’une procédure préjudicielle, il incombe à la Cour non pas de déterminer si des faits allégués sont établis, mais uniquement de procéder à l’interprétation des dispositions pertinentes du droit de l’Union. En effet, selon la jurisprudence de la Cour, les questions relatives à l’interprétation du droit de l’Union sont posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude (14).
35. Il s’ensuit que, nonobstant les arguments de RS, que j’ai résumés au point 33 des présentes conclusions, je limiterai mon analyse, aux fins de répondre à la première question, aux éléments factuels exposés par la juridiction de renvoi tels qu’ils sont présentés au point 32 ci-dessus.
36. Dans ce contexte, je suis d’avis qu’une personne physique qui (comme TS) traite des données à caractère personnel, non pas dans son intérêt personnel, mais dans l’exercice de ses fonctions de directeur d’une organisation (en l’espèce, une école) et par des moyens mis à sa disposition et qui ont été déterminés pour elle par une telle organisation, ne doit pas être considérée comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD. Les gouvernements autrichien et italien, ainsi que la Commission, défendent également cette position.
37. À cet égard, je rappelle que la Cour a jugé que l’article 4, point 7, du RGPD définissait de manière large la notion de « responsable du traitement ». L’objectif de cette définition large consiste, en conformité avec celui de ce règlement, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques ainsi que, notamment, un niveau élevé de protection du droit de toute personne à la protection des données à caractère personnel la concernant (15).
38. En même temps, la Cour a souligné que le responsable du traitement devait « influe[r], à des fins qui lui sont propres, sur le traitement de telles données » (16). Ainsi, il est clair qu’une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données à caractère personnel pour le compte d’autrui plutôt qu’à des fins qui lui sont propres, ne saurait être qualifié de « responsable du traitement » au sens de l’article 4, point 7, du RGPD.
39. Cela est confirmé par le considérant 74 de ce règlement, aux termes duquel la responsabilité du responsable du traitement est la même pour « tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte » (17), ainsi que par la jurisprudence de la Cour relative à l’article 29 de ce règlement, aux termes de laquelle « toute personne agissant sous l’autorité du responsable du traitement […], qui a accès à des données à caractère personnel, ne peut pas traiter ces données, excepté sur instruction du responsable du traitement […] ». La Cour a déduit de cette disposition qu’un responsable du traitement ne peut pas être exonéré de sa responsabilité au seul motif que ce dommage a été provoqué par le comportement fautif d’une personne agissant sous son autorité (18).
40. En outre, et comme l’a relevé la juridiction de renvoi, il existe plusieurs exemples dans la jurisprudence de la Cour où les données à caractère personnel en cause avaient été traitées par une personne physique pour le compte d’une entité juridique et où cette dernière (plutôt que la personne physique) était néanmoins considérée comme étant le « responsable du traitement » (19). Notamment, la Cour a jugé que des personnes morales (telles que des sociétés) sont responsables non seulement des violations du RGPD commises par leurs représentants, directeurs ou gestionnaires, mais également de celles commises par toute autre personne qui agit dans le cadre de l’activité commerciale de ces personnes morales et pour leur compte (20). À mon avis, il en va naturellement de même pour « l’autorité publique, le service ou un autre organisme », pour utiliser les termes employés à l’article 4, point 7, du RGPD.
41. Ces constatations sont conformes aux lignes directrices 07/2020 du comité européen de la protection des données, qui disposent en substance que, même si une personne physique particulière est chargée par une entité juridique (une société ou un organisme public) de la mise en œuvre du traitement, l’entité juridique, en sa qualité de responsable du traitement, sera responsable en dernier ressort en cas de violation des règles (21).
42. Selon moi, il découle de ces considérations que le directeur d’une école qui (comme TS) traite des données à caractère personnel non pas dans son intérêt personnel (c’est-à-dire non pas à des fins qui lui sont propres), mais en tant que dirigeant d’un tel organisme public, doit être considéré comme agissant pour le compte de cette dernière. Dans une telle situation, le chef d’établissement ne répond pas aux critères pour être considéré comme un « responsable du traitement » au sens de l’article 4, point 7, du RGPD. C’est plutôt l’école qui est le « responsable du traitement » (22).
43. Le fait que l’école elle-même n’est pas dotée de la personnalité juridique ne remet pas en cause cette conclusion. En effet, la Cour a déjà jugé qu’une entité pouvait être considérée comme un « responsable du traitement », au sens de cette disposition, quand bien même elle serait dépourvue de la personnalité juridique (23).
44. Un résultat différent ne serait justifié, selon moi, que si la juridiction de renvoi devait conclure dans le cadre de son appréciation des faits qui lui sont présentés que, en procédant au traitement des données à caractère personnel de RS, TS a agi soit hors du cadre de ses fonctions, c’est-à-dire exclusivement à des fins qui lui sont propres (auquel cas il serait le seul « responsable du traitement »), soit à des fins qui lui sont propres ainsi qu’aux fins propres à l’école (en tant que responsable conjoint du traitement) (24). Si l’une ou l’autre de ces situations était établie dans l’affaire au principal, j’estime que TS devrait être considéré comme déterminant non seulement les finalités, mais également les moyens du traitement. En effet, dans la mesure où il aurait utilisé à des fins qui lui sont propres son adresse électronique professionnelle ainsi que l’ordinateur de l’école et le serveur indépendant mis à sa disposition, l’utilisation de ces moyens serait « non autorisée » et ces moyens ne pourraient donc pas être considérés comme ayant été déterminés pour lui. Cependant, c’est à la juridiction de renvoi qu’il incombe de l’établir.
45. Eu égard aux considérations qui précèdent, je propose à la Cour de répondre par la négative à la première question préjudicielle. Au vu de cette réponse, j’estime qu’il n’est pas nécessaire que la Cour réponde aux deuxième à quatrième questions, qui portent sur les obligations découlant de l’article 15, paragraphe 1, sous g), et de l’article 82 du RGPD auxquelles une personne physique telle que TS serait soumise si elle était un « responsable du traitement » au sens de l’article 4, point 7, de ce règlement (25). Je suis d’avis qu’il en va ainsi, même si ces questions ne sont pas explicitement formulées comme étant subordonnées à la réponse à la première question (26).
46. Néanmoins, au cas où la Cour adopterait un point de vue différent et dans un souci d’exhaustivité, je me pencherai à présent sur les questions de fond soulevées par les deuxième à quatrième questions.
B. La portée du droit d’information quant à la source des données à caractère personnel [article 15, paragraphe 1, sous g), du RGPD] (deuxième question)
47. La deuxième question préjudicielle s’articule en deux branches. Par la première branche, la juridiction de renvoi demande si, lorsque les données traitées consistent en une déclaration factuelle ou un jugement de valeur sur la personne concernée dans un courrier électronique, l’article 15, paragraphe 1, sous g), du RGPD doit être interprété en ce sens que les termes« toute information disponible quant à leur source » visent uniquement l’auteur de ce courrier électronique ou s’il faut inclure également le cercle de personnes avec lesquelles l’auteur a parlé de la personne concernée et dont l’opinion fonde une telle déclaration factuelle ou un tel jugement de valeur.
48. Pour replacer cette question dans son contexte, je rappelle que, dans la procédure au principal, RS fait valoir qu’il devrait être en droit, sur la base de l’article 15, paragraphe 1, sous g), du RGPD, d’obtenir de TS (qu’il considère comme étant un « responsable du traitement », au sens de l’article 4, point 7, de ce règlement) l’identité du tiers (avec lequel TS a parlé de la réputation de RS), étant donné que ce tiers doit être considéré comme étant la « source » des données à caractère personnel – à savoir, l’opinion relative à RS – contenues dans le courriel en cause.
49. La seconde branche concerne la question de savoir si, dans l’hypothèse où la Cour considérerait que l’identité d’un tel tiers constitue une « information disponible quant à [la] source » des données, au sens de l’article 15, paragraphe 1, sous g), du RGPD, il importe pour la mise en balance des intérêts de la personne concernée par le traitement des données avec ceux de ce tiers, que ce dernier n’aurait pas pu prévoir que ses déclarations feraient l’objet d’un traitement de données.
1. La première branche de la deuxième question
50. Tout d’abord, je rappelle que la Cour a jugé que l’emploi de l’expression « toute information » dans la définition de la notion de « données à caractère personnel », figurant à l’article 4, point 1, du RGPD, reflétait l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle englobe potentiellement toute sorte d’informations, tant objectives que subjectives, sous forme d’avis ou d’appréciations, à condition que celles-ci « concernent » la personne en cause (27).
51. Comme le suppose à juste titre la juridiction de renvoi, il s’ensuit qu’une opinion (« jugement de valeur ») relative à une personne concernée (en l’espèce, RS) contenue dans un courrier électronique (en l’espèce, le courriel envoyé par TS au centre de formation des enseignants) est une « donnée à caractère personnel » au sens de l’article 4, point 1, du RGPD.
52. En ce qui concerne la « source », au sens de l’article 15, paragraphe 1, sous g), du RGPD, d’une telle opinion ou d’une déclaration factuelle relative à la personne concernée dans un courriel, je note que ni cette disposition ni aucune autre disposition de ce règlement ne définit cette notion. En l’absence d’une telle définition, il convient, conformément à une jurisprudence constante, de tenir compte tant du terme « source » selon son sens habituel dans le langage courant que du contexte de cette disposition et des objectifs poursuivis par la réglementation dont elle fait partie (28).
53. La « source » de quelque chose est définie, dans son sens ordinaire, comme « la personne, le lieu ou la chose dont cela provient » (29). Par conséquent, pour les informations qui doivent être communiquées en vertu de l’article 15, paragraphe 1, sous g), du RGPD, il convient d’examiner l’origine de ces données à caractère personnel. De plus, étant donné que l’article 15, paragraphe 1, sous g), du RGPD ne s’applique que « lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée », il est clair que la « source » ne saurait, en vertu de cette disposition, être la personne concernée elle-même.
54. En ce qui concerne le contexte de l’article 15, paragraphe 1, sous g), du RGPD, je note que le terme « source » apparaît également à l’article 14, paragraphe 2, sous f), de ce règlement, qui prévoit le droit d’obtenir du responsable du traitement des informations concernant « la source d’où proviennent les données à caractère personnel » (30) lorsqu’elles n’ont pas été collectées auprès de la personne concernée elle-même. Cela confirme, à mon sens, que le terme « source » figurant à l’article 15, paragraphe 1, sous g), du RGPD désigne l’origine des données à caractère personnel.
55. Enfin, concernant les objectifs du RGPD, il importe de rappeler que l’article 15 de ce règlement « complète le cadre de transparence organisé par ce règlement en octroyant à la personne concernée un droit d’accès à ses données à caractère personnel et un droit d’information sur le traitement de ces données » (31).
56. L’article 15, paragraphe 1, sous a) à h), vise à donner un effet utile à ce droit. En prévoyant que la personne concernée est en droit d’obtenir les informations concernant le traitement de ses données à caractère personnel, cette disposition lui permet d’apprécier l’exactitude des données à caractère personnel et la licéité du traitement, ainsi que d’exercer effectivement les droits qui en découlent au titre de ce règlement, notamment son droit à la rectification, son droit à l’effacement (« droit à l’oubli ») et son droit à la limitation du traitement, ainsi que son droit d’opposition (32), qui visent tous à renforcer le « contrôle » qu’exerce la personne concernée sur ses données à caractère personnel (33).
57. Je considère que c’est au regard de cette fonction particulière que la portée du droit d’information quant à la « source » des données à caractère personnel prévu à l’article 15, paragraphe 1, sous g), du RGPD doit être déterminée (34). Ainsi, il convient d’examiner si les informations demandées au titre de cette disposition sont nécessaires afin de permettre à la personne concernée d’assurer l’exactitude de ses données à caractère personnel ou la licéité du traitement de ces données, ou encore d’exercer effectivement les droits qu’elle tire ce règlement (35).
58. À mon avis, tel est le cas lorsque, par exemple, la personne concernée invoque l’article 15, paragraphe 1, sous g), du RGPD pour déterminer la « source » de données inexactes la concernant de manière à empêcher que ces données ne continuent à circuler entre différents responsables du traitement (36) (c’est-à-dire empêcher tout « traitement » ultérieur), ou lorsque la communication des informations disponibles concernant la « source » des données à caractère personnel pertinentes permet à la personne concernée de constater qu’une opération de traitement, ou un ensemble d’opérations, relevant du champ d’application matériel du RGPD, ont été effectuées antérieurement pour les mêmes données, à l’égard desquelles elle est habilitée à exercer les droits que lui confère ce règlement.
59. Ces précisions ayant été apportées, je relève que la Commission et le gouvernement italien estiment que, lorsque les données à caractère personnel pertinentes consistent en une opinion (« jugement de valeur ») ou une déclaration factuelle relative à la personne concernée, contenue dans un courriel, la « source » d’une telle opinion est l’auteur du courriel (en l’espèce, TS). Ils font valoir que, dans une telle situation, l’article 15, paragraphe 1, du RGPD doit être interprété en ce sens que l’expression « toute information disponible quant à [la] source » des données n’inclut pas l’identité des personnes avec lesquelles l’auteur a parlé de la personne concernée avant de forger son opinion ou de rédiger la déclaration factuelle à son sujet.
60. Je partage cette position. Cependant, à mon sens, une telle conclusion ne peut être tirée qu’à la condition que l’opinion (« jugement de valeur ») ou la déclaration factuelle relative à la personne concernée dans le courriel en question puisse effectivement être attribuée à l’auteur de ce courriel. À cet égard, je partage l’avis de la Commission selon lequel le fait que l’auteur fasse allusion, dans le courriel, au point de vue d’autres personnes à propos de la personne concernée est dénué de pertinence, tant que les données à caractère personnel en question (c’est-à-dire l’opinion ou la déclaration factuelle) peuvent encore être attribuées à l’auteur lui-même et ne se limitent pas à une simple citation de ce point de vue. Effectivement, dans ce dernier cas, je considère que la « source » des données à caractère personnel (l’opinion) serait le ou les tiers dont le point de vue est cité, et non l’auteur du courriel.
61. En l’espèce, c’est à la juridiction de renvoi qu’il appartient de déterminer, à la lumière des faits dont elle est saisie, si l’opinion (« jugement de valeur ») relative à RS contenue dans le courriel en cause peut effectivement être attribuée à TS ou si, à l’inverse, il consiste simplement en un point de vue précédemment exprimé à TS par un tiers (à savoir, l’autre enseignant avec lequel il a parlé de RS), que TS a simplement reproduit ou cité dans le courriel, ainsi que RS semble le soutenir (37). Si cette juridiction devait juger que l’opinion relative à RS dans le courriel en cause peut être attribuée à TS, je considère – à l’instar de la Commission et du gouvernement italien – que le droit d’information de RS quant à la « source » de cette opinion, prévu à l’article 15, paragraphe 1, sous g), du RGPD ne saurait s’étendre jusqu’à recevoir des informations concernant un tel tiers, étant donné que seul TS pourrait être considéré comme étant la « source » de l’opinion en question.
62. Néanmoins, la juridiction de renvoi se demande s’il découle du fait que l’article 15, paragraphe 1, sous g), du RGPD fait référence non seulement à la « source » des données à caractère personnel concernées, mais aussi à « toute information disponible quant à [cette] source » que, même lorsque la « source » d’une opinion ou d’une déclaration factuelle relatives à la personne concernée dans un courriel est l’auteur du courriel, la personne concernée est en droit d’obtenir des informations sur les facteurs ou les personnes qui ont contribué à la formation d’une telle opinion ou aidé l’auteur à formuler une telle déclaration factuelle (telles que l’identité d’un tiers avec qui l’auteur a parlé).
63. À cet égard, premièrement, je partage le point de vue du gouvernement italien et de la Commission selon lequel une telle interprétation de l’article 15, paragraphe 1, sous g), du RGPD serait trop large, compte tenu de la multitude de facteurs susceptibles d’entrer en jeu, en particulier lors de la formation d’une opinion. À titre d’exemple, examinons les faits de l’affaire ayant donné lieu à l’arrêt Nowak(38). Une partie des données à caractère personnel en cause était constituée des annotations subjectives de l’examinateur sur un feuillet d’examen. Dans une telle situation, l’expression « toute information disponible quant à la source » des données à caractère personnel, au sens de l’article 15, paragraphe 1, sous g), du RGPD, pourrait-elle englober toute information concernant des personnes avec lesquelles l’examinateur a pu interagir lors de l’évaluation des feuillets d’examen, allant, par exemple, d’un collègue qui a donné des conseils sur l’évaluation des réponses des candidats à un voisin qui faisait un bruit particulièrement irritant, exaspérant ainsi l’examinateur à un point tel qu’il a attribué une note plus sévère qu’il ne l’aurait fait autrement ? À mon sens, non.
64. Deuxièmement, et en ce qui concerne la fonction spécifique du droit d’information quant à la source des données personnelles prévu à l’article 15, paragraphe 1, sous g), du RGPD que j’ai soulignée au point 57 des présentes conclusions, je ne vois pas en quoi le fait d’obtenir des informations sur l’identité d’un tiers qui n’est pas la « source » des données à caractère personnel en cause (en l’espèce, une opinion ou une déclaration factuelle relative à la personne concernée dans un courriel), mais qui a simplement contribué à la formation d’une telle opinion ou aidé l’auteur du courriel à formuler une telle déclaration à la suite d’une conversation avec celui-ci, permettrait à la personne concernée d’assurer l’exactitude de ses données à caractère personnel ou la licéité du traitement de ces données, ou encore d’exercer les droits qu’elle tire du RGPD.
65. Troisièmement, comme je l’ai déjà relevé aux points 25 et 26 des présentes conclusions, le considérant 4 du RGPD précise que le droit à la protection des données à caractère personnel n’est, en tout état de cause, « pas un droit absolu » et « doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux », y compris le droit à la liberté de pensée et à la liberté d’expression. Il en va de même pour les différents droits que les personnes concernées tirent du RGPD et qui visent à donner un effet utile au droit à la protection des données à caractère personnel, tels que le droit d’accès aux données à caractère personnel prévu à l’article 15 du RGPD (39), dont la Cour a jugé qu’il ne devait pas porter atteinte aux droits ou libertés d’autrui (40). Il va sans dire qu’une mise en balance similaire doit également être effectuée en ce qui concerne le droit d’information quant à la source des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous g), du RGPD.
66. Dans ce contexte, il me semble évident que communiquer l’identité d’un tiers qui n’est pas lui-même la « source » des données à caractère personnel en cause (en l’espèce, une opinion ou une déclaration factuelle relative à la personne concernée dans un courriel), mais qui a simplement contribué à la formation d’une telle opinion ou aidé l’auteur du courriel à formuler une telle déclaration à la suite d’une conversation avec celui-ci, ferait indûment pencher la balance en faveur de la personne concernée en portant atteinte à de nombreux droits ou libertés du tiers, notamment son droit à la liberté de pensée et à la liberté d’expression (41) ou au respect de la vie privée et au respect des communications (42).
67. Il résulte de ces considérations que, lorsque la « source » d’une opinion (« jugement de valeur ») ou d’une déclaration factuelle relative à la personne concernée dans un courriel est l’auteur du courriel lui-même, la personne concernée n’est pas en droit d’obtenir, au titre de l’article 15, paragraphe 1, sous g), du RGPD, des informations (telles que l’identité d’un tiers avec qui l’auteur a parlé) sur les facteurs ou les personnes qui ont contribué à la formation d’une telle opinion ou aidé l’auteur à formuler une telle déclaration factuelle.
68. À titre de remarque finale, je rappelle que l’article 15, paragraphe 1, sous g), du RGPD confère aux personnes concernées un droit d’obtenir « toute information disponible quant à la source » des données à caractère personnel les concernant, et non un droit d’obtenir toute information quant à la source des données à caractère personnel et aux sources de cette source. Si, contrairement à ce que je suggère, la Cour devait adopter l’interprétation de cette disposition exposée au point 62 des présentes conclusions, cela aurait pour conséquence que, lorsque la source des données à caractère personnel est, par exemple, un dossier ou un registre, la personne concernée serait en droit, aux termes de l’article 15, paragraphe 1, sous g), du RGPD, d’obtenir « toute information disponible » non seulement quant à ce dossier ou ce registre, mais également quant à tout dossier ou registre antérieur sur lequel il est fondé. En d’autres termes, la portée de cette disposition deviendrait illimitée.
2. La seconde branche de la deuxième question
69. La seconde branche de la deuxième question concerne la situation dans laquelle un tiers, plutôt que l’auteur du courriel, doit être considéré comme étant la « source » des données à caractère personnel en question, à savoir en l’espèce une opinion ou une déclaration factuelle relative à la personne concernée contenue dans un courriel. Comme je l’ai expliqué au point 60 ci-dessus, cette situation ne se produirait que si l’opinion ou la déclaration contenue dans le courriel ne pouvait pas être attribuée à l’auteur du courriel parce qu’elle consiste simplement en une reproduction ou citation d’un point de vue exprimé précédemment par le tiers.
70. À mon avis, dans une telle situation, il est clair que la mise en balance mentionnée au point 65 des présentes conclusions s’appliquerait également. En d’autres termes, la communication de l’identité de la « source » des données à caractère personnel en question au titre de l’article 15, paragraphe 1, sous g), du RGPD ne serait pas automatique. Les droits et libertés de la personne qui est considérée comme étant la « source » doivent également être pris en compte et mis en balance avec le droit de la personne concernée à obtenir des informations quant à la source des données à caractère personnel, en vertu de cette disposition.
71. À cet égard, le fait que le tiers en question n’aurait pas pu prévoir que ses déclarations feraient l’objet d’un traitement des données constitue un élément pertinent. En effet, cela suggère que le tiers s’est engagé dans ce qu’il estimait être une conversation confidentielle ou privée, dont il ne s’attendait pas à ce que le contenu, ainsi que la circonstance de sa participation à celle-ci, seraient partagés avec la personne concernée en vertu des dispositions du RGPD. À mon avis, dans une telle situation, il conviendrait de mettre particulièrement l’accent sur l’importance de respecter le droit du tiers à la liberté de pensée et à la liberté d’expression (43) ainsi qu’au respect de la vie privée et des communications (44).
72. Par ailleurs, je ne vois pas comment, même lorsque l’opinion ou la déclaration relative à la personne concernée dans un courriel consiste simplement en une reproduction ou une citation d’un point de vue précédemment exprimé oralement par un tiers, obtenir des informations quant à l’identité de ce tiers (la « source ») en application de l’article 15, paragraphe 1, sous g), du RGPD pourrait contribuer à atteindre l’objectif poursuivi par cette disposition qui est, comme je l’ai rappelé au point 57 des présentes conclusions, de permettre à la personne concernée d’assurer, entre autres, l’exactitude de ses données à caractère personnel. En effet, les opinions sont, par nature, intrinsèquement subjectives. Cela signifie que, contrairement aux déclarations factuelles, leur exactitude ou leur véracité est difficile à vérifier (45).
C. Le droit à réparation en vertu de l’article 82 du RGPD en raison de la violation de l’article 15, paragraphe 1, du RGPD (troisième question)
73. Par sa troisième question, la juridiction de renvoi demande si les conséquences négatives subies par une personne concernée du fait de la violation par un responsable du traitement de l’obligation de fournir des informations prévue à l’article 15, paragraphe 1, du RGPD [en l’espèce, l’obligation prévue à l’article 15, paragraphe 1, sous g), de fournir des informations quant à la « source » des données à caractère personnel collectées] sont un « dommage causé par le traitement qui constitue une violation [de ce] règlement », au sens de l’article 82, paragraphe 2, du RGPD, ce qui entraîne la responsabilité du responsable du traitement et l’obligation correspondante de réparer le préjudice subi par la personne concernée.
74. Comme elle l’explique, la juridiction de renvoi demande en substance à la Cour de préciser si une violation de cette obligation peut donner lieu à une action en réparation de la personne concernée au titre de l’article 82 du RGPD, pris dans son ensemble. Plus concrètement, si TS devait être considéré comme étant un « responsable du traitement » au sens de l’article 4, point 7, de ce règlement et comme ayant agi en violation de l’article 15, paragraphe 1, sous g), du même règlement, RS aurait-il droit à réparation au titre de l’article 82 du RGPD ? Je propose donc à la Cour de reformuler la troisième question afin d’inclure l’interprétation de cette disposition dans son ensemble, au lieu de se référer uniquement à son paragraphe 2 (46).
75. Pour en venir à présent à l’interprétation de l’article 82 du RGPD, je comprends que les doutes de la juridiction de renvoi quant à l’interprétation de cette disposition découlent du fait que l’obligation d’information prévue à l’article 15, paragraphe 1, de ce règlement n’existe qu’après le traitement de données à caractère personnel en question (47), ainsi que lorsqu’aucun traitement n’a effectivement eu lieu (48), alors que l’article 82, paragraphe 2, du RGPD vise le « dommage causé par le traitement […] » (49). Eu égard à ce libellé, on peut supposer, comme semble le faire la juridiction de renvoi, que le droit à réparation prévu à l’article 82 de ce règlement ne naît que pour un dommage causé par un traitement contraire au RGPD, et non pour un dommage résultant de la violation d’une obligation prévue par ce règlement qui, à l’instar de l’obligation d’information prévue à l’article 15, paragraphe 1, du même règlement, a lieu après un tel traitement ou indépendamment d’un tel traitement.
76. Or, à mon sens, il est clair que le droit à réparation prévu par la première disposition s’étend au dommage causé par une violation de cette obligation.
77. Premièrement, en ce qui concerne la genèse de l’article 82 du RGPD, je rappelle que la disposition correspondante de l’acte de droit dérivé applicable antérieurement, à savoir l’article 23 de la directive 95/46, faisait référence à un « dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la directive [95/46] ». Il est clair que le législateur de l’Union n’avait aucune intention, en adoptant le RGPD, de réduire le niveau de protection accordé aux personnes concernées, par rapport à celui dont elles bénéficiaient en vertu de la directive 95/46, bien au contraire (50).
78. À cet égard, je relève encore que, au cours du processus législatif ayant conduit à l’adoption du RGPD, le Conseil a suggéré de limiter le droit à réparation des personnes concernées au dommage « causé par le traitement qui n’est pas conforme au [RGPD] » (51). Cette limitation ne figure toutefois pas dans la version finale de l’article 82 de ce règlement.
79. Deuxièmement, l’article 82 remplit une double fonction. D’une part, il confère à la personne concernée un droit à réparation et établit, par principe, la responsabilité correspondante du responsable du traitement ou du sous-traitant pour le préjudice subi (article 82, paragraphe 1). D’autre part, il définit les conditions spécifiques dans lesquelles le responsable du traitement, le sous-traitant ou les deux peuvent être tenus pour responsables (ou exonérés de responsabilité) du dommage causé, ainsi que la manière dont la responsabilité devrait être répartie entre eux lorsque plusieurs parties ont participé au traitement de données en question (article 82, paragraphes 2 à 5).
80. Il s’ensuit que l’article 82, paragraphe 2, du RGPD n’a pas pour objet en soi de déterminer la portée du droit à réparation des personnes concernées. Il vise plutôt à préciser les règles en matière de responsabilité, dont le principe est établi au paragraphe 1 de cet article (52).
81. La portée du droit à réparation doit, quant à elle, être déterminée à la lumière du libellé de l’article 82, paragraphe 1, du RGPD, qui ne contient pas la même limitation que le paragraphe 2 de cet article, étant donné qu’il énonce de manière plus générale que « [t]oute personne ayant subi un dommage matériel ou moral du fait d’une violation [de ce] règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi » (53). Il n’est fait aucune mention du « traitement ».
82. Eu égard à ces éléments, je considère que la référence au « dommage causé par le traitement » à l’article 82, paragraphe 2, du RGPD ne saurait être interprétée comme limitant à ce seul dommage la portée du droit à réparation prévu à l’article 82, paragraphe 1, de ce règlement. L’avocat général Szpunar est parvenu à une conclusion similaire dans ses conclusions Brillen Rottler (54), dans lesquelles il décrivait le paragraphe 2 de l’article 82 du RGPD comme une « règle complémentaire » et non pas comme une limitation du paragraphe 1 de cet article.
83. De surcroît, la Cour a expressément jugé, dans son arrêt récent dans cette affaire (55), que, dès lors que l’article 82, paragraphe 1, du RGPD ne contenait aucune référence au « traitement », « ce droit à réparation ne saurait être limité aux dommages résultant d’un traitement de données à caractère personnel » (56).
84. Dans cet arrêt, la Cour a également rappelé que l’article 82, paragraphe 1, du RGPD figurait au chapitre VIII de ce règlement, qui régit les voies de recours, les règles de responsabilité et les sanctions permettant de protéger ces droits, et qu’il devait être lu à la lumière du considérant 141 du RGPD, qui prévoit que toute personne concernée devrait disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte « si elle estime que les droits que lui confère [ledit] règlement sont violés » (57). La Cour ajoutait que ces droits englobaient le droit d’accès d’une personne concernée à ses données à caractère personnel au titre de l’article 15, paragraphe 1, du RGPD. Ces droits, de même que les autres droits accordés aux personnes concernées par l’article 15 de ce règlement, y compris celui d’obtenir les informations énumérées à l’article 15, paragraphe 1, sous a) à h), doivent être protégés par l’article 82 du même règlement, qui doit donc être interprété comme s’appliquant aux dommages résultant de violations de ces droits.
85. Troisièmement, il me semble évident que limiter le droit de la personne concernée à obtenir réparation en vertu de cette disposition pour le dommage causé par un traitement illicite serait également incompatible avec les objectifs poursuivis par ce règlement dans son ensemble, qui, comme je l’ai indiqué au point 24 des présentes conclusions, sont d’assurer un « niveau élevé de protection » et de « renforcer […] les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel ». Dans l’arrêt Brillen Rottler (58), la Cour a jugé, en substance, que l’article 82 du RGPD visait à assurer la mise en œuvre de ces objectifs.
86. Ainsi que la Commission l’a relevé à juste titre, si le droit de la personne concernée à obtenir réparation au titre de cette disposition était limité aux dommages causés par un traitement illicite de données, cela affecterait non seulement la protection des droits prévus à l’article 15 de ce règlement, mais également la quasi-totalité des droits des personnes concernées au titre du chapitre III du RGPD (59), qui deviendraient largement symboliques (60). En effet, chacun de ces droits s’accompagne d’une obligation correspondante pour les responsables du traitement, à laquelle ceux-ci ne sont soumis qu’après (61) que le (prétendu) traitement en question a eu lieu (62).
87. Pour ces raisons, je considère que les conséquences négatives subies par une personne concernée du fait de la violation de l’obligation de fournir des informations prévue à l’article 15, paragraphe 1, du RGPD peuvent être considérées comme constituant un « dommage » au sens de l’article 82 de ce règlement, ce qui entraîne une obligation pour le responsable du traitement de réparer le préjudice subi par la personne concernée en vertu de cette disposition.
D. La question de savoir si l’article 82 du RGPD s’oppose à l’application de règles nationales qui prévoient l’exclusion de la responsabilité du responsable du traitement (quatrième question)
88. J’examinerai à présent la quatrième question, par laquelle la juridiction de renvoi demande, en cas de réponse affirmative à la première ou à la troisième questions, si l’article 82 du RGPD s’oppose à l’application de règles nationales qui prévoient que des personnes agissant en tant qu’« organes » – c’est-à-dire pour le compte – de certaines entités juridiques de droit public ne sauraient être tenues pour responsables du dommage qu’elles causent aux personnes concernées, en leur qualité de responsables du traitement ou de sous-traitants.
89. Cette question est posée en considération de certaines spécificités du droit autrichien, à savoir celles énoncées à l’article 1er de la loi sur la responsabilité administrative, qui prévoit que les personnes agissant en tant qu’« organes » de l’État fédéral, des Länder, des communes, des autres personnes morales de droit public et des organismes de sécurité sociale en exécution des lois ne sont pas responsables du dommage qu’elles causent à quiconque du fait de leur comportement illégal. Par conséquent, une action en réparation du dommage ne saurait être intentée contre ces personnes au titre de l’article 82 du RGPD (63).
90. En l’espèce, je comprends que TS, en sa qualité de directeur d’une école primaire en Autriche, doit être considéré comme agissant en tant qu’« organe » du Land concerné (étant donné que les écoles n’ont pas, en droit autrichien, de personnalité juridique et ne peuvent donc pas être poursuivies en justice). Il découle de l’article 1er de la loi sur la responsabilité administrative que, même si TS remplissait toutes les conditions nécessaires pour avoir la qualité de « responsable du traitement » au sens de l’article 4, point 7, du RGPD en ce qui concerne le traitement des données à caractère personnel en cause au principal (ce qui, comme je l’ai expliqué, ne me semble pas être le cas), RS ne pourrait pas introduire d’action en réparation contre lui au titre de l’article 82 de ce règlement pour le dommage prétendument causé par la violation de l’article 15, paragraphe 1, sous g), du même règlement commise par TS. La juridiction de renvoi se demande si une telle disposition nationale est contraire à l’article 82 du RGPD.
91. Je ne le crois pas. En effet, une disposition nationale telle que l’article 1er de la loi sur la responsabilité administrative n’empêche pas, en soi, une personne concernée d’introduire une action en réparation lorsque la violation du RGPD en cause a été commise par une personne agissant pour le compte d’une entité juridique de droit public. Elle se borne plutôt à transférer la responsabilité de la réparation vers l’entité en question.
92. Il semble que le principal objectif d’un tel transfert de responsabilité soit d’assurer la protection de la victime en lui permettant de s’adresser à un débiteur solvable (64). Ainsi, contrairement à ce que soutient le requérant, la ratio legis d’une disposition nationale telle que l’article 1er de la loi sur la responsabilité administrative n’est pas de restreindre la protection juridique des personnes concernées, mais plutôt de la renforcer.
93. Au vu de ces considérations, je ne vois pas comment une telle disposition nationale pourrait être considérée comme étant incompatible avec l’article 82 du RGPD.
94. Je reconnais que l’article 82, paragraphe 2, de ce règlement, qui prévoit que « [t]out responsable du traitement ayant participé au traitement est responsable du dommage causé par le traitement qui constitue une violation du [RGPD] » pourrait être compris, à première vue, comme requérant la responsabilité directe du responsable du traitement.
95. Cependant, la ratio legis sous-tendant l’article 82 du RGPD est, comme la Cour l’a constamment jugé (65), de prévoir pour la personne concernée une réparation complète et effective pour le dommage subi du fait d’une violation du RGPD (66). Ainsi que je l’ai déjà relevé au point 84 des présentes conclusions, cette disposition figure au chapitre VIII de ce règlement, qui régit les voies de recours, les règles de responsabilité et les sanctions permettant de protéger ces droits. Elle doit donc être lue à la lumière du considérant 141 du RGPD, qui fait expressément référence au droit des personnes concernées à un recours juridictionnel effectif conformément à l’article 47 de la Charte, lorsque les droits que leur confère ce règlement sont violés.
96. Il n’importe donc pas, selon moi, que l’indemnisation soit versée directement par le responsable du traitement ou sous-traitant ou par l’entité juridique de droit public qui emploie une telle personne ou en est responsable. Ce qui importe, c’est que le dommage réellement subi par la personne concernée du fait d’une violation du RGPD soit complètement réparé.
97. Cette conclusion n’est pas remise en cause par une comparaison entre l’article 82 et l’article 83, paragraphe 7, du RGPD, qui laisse expressément aux États membres le soin de déterminer dans quelle mesure des amendes administratives peuvent être imposées à des autorités publiques et à des organismes publics. Selon RS, l’absence de toute marge d’appréciation similaire dans l’article 82 du RGPD ne peut être interprétée que comme signifiant que les États membres ne sont pas autorisés à exonérer les autorités et organismes publics, et donc leurs organes, de dommages-intérêts de droit privé.
98. Cet argument ne tient toutefois pas compte du fait que l’article 82 et l’article 83 du RGPD poursuivent des objectifs différents (67). La fonction de la première de ces dispositions est exclusivement indemnitaire (en d’autres termes, elle concerne la réparation du préjudice subi par la personne concernée), tandis que la seconde poursuit une finalité punitive (68). Je considère que, en raison de cette finalité punitive, les amendes administratives doivent, en principe, être directement « liées » au responsable du traitement ou au sous-traitant en question.
99. En outre, comme je l’ai expliqué au point 91 des présentes conclusions, une disposition nationale telle que l’article 1er de la loi sur la responsabilité administrative se borne à transférer la responsabilité de la réparation d’une personne agissant pour le compte d’une entité juridique vers cette entité elle-même (69). En revanche, lorsqu’un État membre établit des règles sur la base de l’article 83, paragraphe 7, du RGPD, il peut exclure purement et simplement l’imposition d’amendes administratives à ses autorités publiques et organismes.
100. Dans ces circonstances, je considère que l’article 82 du RGPD ne s’oppose pas à l’application de règles nationales en vertu desquelles les personnes agissant pour le compte de certaines entités juridiques de droit public ne sauraient être tenues pour responsables du dommage qu’elles causent aux personnes concernées, en leur qualité de responsables du traitement ou de sous-traitants, pour autant que ces règles désignent également l’entité contre laquelle une action en réparation peut être introduite par ces personnes concernées.
V. Conclusion
101. Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Oberster Gerichtshof (Cour suprême, Autriche) de la manière suivante :
L’article 4, point 7, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
doit être interprété en ce sens qu’une personne physique qui, lorsqu’elle traite des données à caractère personnel dans l’exercice de ses fonctions et par des moyens mis à sa disposition et qui ont été déterminés pour elle par une organisation, agit non pas dans son intérêt personnel, mais en tant que directeur d’une telle organisation, ne saurait être considérée comme étant un « responsable du traitement » au sens de cette disposition.
1 Langue originale : l’anglais.
i Le nom de la présente affaire est un nom fictif. Il ne correspond au nom réel d’aucune partie à la procédure.
2 Règlement du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).
3 Voir article 4, point 1, du RGPD.
4 Voir article 4, point 1, du RGPD.
5 Voir considérant 7 du RGPD.
6 Voir considérant 11 du RGPD.
7 Voir article 1er, paragraphe 2, et considérant 10 du RGPD.
8 Voir considérant 7 du RGPD. Ce règlement repose sur une conception de la personne concernée en tant que personne active, capable de prendre une décision en ce qui concerne les données à caractère personnel la concernant (voir Spiecker gen. Döhmann, I., Papakonstantinou, V., Hornung, G., et De Hert, P., General Data Protection Regulation : Article-by-Article Commentary, Nomos, Baden-Baden, 2023, p. 86).
9 L’article 4, point 2, du RGPD définit le « traitement » comme suit : « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
10 Voir article 15, paragraphe 1, du RGPD : « [l]a personne concernée a le droit d’obtenir du responsable du traitement […] » (mise en italique par mes soins).
11 Dans une telle situation, les « finalités et les moyens du traitement » sont eux-mêmes déterminés par le droit de l’Union ou par le droit d’un État membre.
12 Voir arrêt du 10 juillet 2018, Jehovan todistajat (C-25/17, EU:C:2018:551, point 68). Cet arrêt portait sur l’interprétation de la notion de « responsable du traitement » telle que définie aux termes de l’article 2, sous d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31). Bien que cette directive ne soit plus en vigueur et qu’elle ait été remplacée par le RGPD, l’interprétation donnée par la Cour en ce qui concerne cette disposition demeure pertinente dans le cadre de l’application du RGPD, étant donné que la définition de cette notion demeure identique dans les deux actes, à l’exception de modifications de forme mineures. Je ferai donc référence sans distinction aux arrêts portant sur l’un ou l’autre acte.
13 Voir également, à cet égard, les « Lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous-traitant dans le RGPD » du comité européen de la protection des données (EDPB) , version 2.1, adoptées le 7 juillet 2021 (ci-après les « lignes directrices 07/2020 du comité européen de la protection des données », disponibles en langue anglaise à l’adresse suivante : https://edpb.europa.eu/system/files/202107/eppb_guidelines_202007_controllerprocessor_final_en.pdf ; la version 2.0 en langue française non révisée est disponible à l’adresse : https://www.edpb.europa.eu/system/files_en ?file=202310/edpb_guidelines_202007_controllerprocessor_final_fr.pdf), p. 3, points 21 et 25 à 27.
14 Voir arrêt du 4 octobre 2024, Bezirkshauptmannschaft Landeck (Tentative d’accès aux données personnelles stockées sur un téléphone portable) (C-548/21, EU:C:2024:830, point 41 et jurisprudence citée).
15 Voir arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C-683/21, EU:C:2023:949, point 29).
16 Voir arrêt du 5 décembre 2023, Nacionalinis visuomenės sveikatos centras (C-683/21, EU:C:2023:949, point 30).
17 Mise en italique par mes soins.
18 Voir arrêt du 11 avril 2024, juris, C-741/21, EU:C:2024:288, points 47 à 49).
19 Voir arrêt du 11 avril 2024, juris, C-741/21, EU:C:2024:288). Voir également, à cet égard, arrêts du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501), du 5 décembre 2023, Deutsche Wohnen (C-807/21, EU:C:2023:950), et du 25 janvier 2024, MediaMarktSaturn (C-687/21, EU:C:2024:72), dans lesquels la Cour a jugé que les « responsables du traitement » étaient des sociétés, bien que le prétendu « traitement » ait été effectué par les employés de ces sociétés.
20 Voir arrêt du 5 décembre 2023, Deutsche Wohnen (C-807/21, EU:C:2023:950, point 44).
21 Voir points 18 et 19 de ces lignes directrices.
22 Je partage l’avis de la Commission selon lequel la juridiction de renvoi se borne à demander, par sa première question, si une personne telle que TS doit être considérée comme un « responsable du traitement », au sens de l’article 4, point 7, du RGPD. Ainsi, si la Cour devait partager mon point de vue selon lequel il convient de répondre par la négative à cette question, je ne pense pas qu’il lui soit nécessaire de déterminer si l’école ou le Land concerné doivent être considérés comme le « responsable du traitement » au lieu de TS.
23 Voir, à cet égard, arrêt du 27 février 2025, Amt der Tiroler Landesregierung (C-638/23, EU:C:2025:127, points 30 à 34). Voir également arrêt du 11 janvier 2024, État belge (Données traitées par un journal officiel) (C-231/22, EU:C:2024:7, point 36).
24 Voir, à cet égard, arrêt du 7 mars 2024, IAB Europe (C-604/22, EU:C:2024:214, points 56 à 59). Voir, pour un exemple dans lequel une entité (une communauté religieuse) et les membres de cette entité ont effectivement été considérés comme étant responsables conjoints du traitement, arrêt du 10 juillet 2018, Jehovan todistajat (C-25/17, EU:C:2018:551).
25 Voir, à cet égard, mes conclusions dans l’affaire Lindenberg (C-205/25, EU:C:2026:312, ci-après « mes conclusions dans l’affaire Lindenberg »), dans lesquelles j’affirme au point 49 que l’article 15 du RGPD ne peut être invoqué qu’à l’encontre du responsable du traitement.
26 Cela vaut pour la quatrième question, qui n’est posée que « dans l’hypothèse où la première ou la troisième question appelleraient une réponse affirmative » (mise en italique par mes soins).
27 Voir, à cet égard, arrêts du 20 décembre 2017, Nowak (C-434/16, EU:C:2017:994, point 34), sur la notion de « données à caractère personnel » telle qu’elle était définie en vertu de l’article 2, sous a), de la directive 95/46, et du 2 décembre 2025, Russmedia Digital et Inform Media Press (C-492/23, EU:C:2025:935, point 49). Voir également, à cet égard, les « Lignes directrices 01/2022 sur les droits des personnes concernées – Droit d’accès » du comité européen de la protection des données, version 2.1, adoptées le 28 mars 2023 (ci-après les « lignes directrices 01/2022 du comité européen de la protection des données », disponibles à l’adresse suivante : https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_fr, point 96.
28 Voir arrêt du 19 mars 2026, Brillen Rottler (C-526/24, EU:C:2026:216, point 24 et jurisprudence citée).
29 Je renvoie à la définition du terme « source » donnée par la version en ligne du Collins Dictionary, disponible à l’adresse suivante : https://www.collinsdictionary.com/dictionary/english/source. Selon le Cambridge Dictionary en ligne, le terme « source » est généralement compris comme signifiant le lieu d’où provient quelque chose, ou une personne ou une chose qui fournit des informations (https://dictionary.cambridge.org/dictionary/english/source).
30 Mise en italique par mes soins.
31 Voir arrêt du 9 janvier 2025, Österreichische Datenschutzbehörde (Demandes excessives) (C-416/23, EU:C:2025:3, point 46).
32 Voir, en ce sens, arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501, points 56 à 59 et jurisprudence citée). Voir également, à cet égard, considérant 63 du RGPD (point 6 des présentes conclusions).
33 Voir point 24 des présentes conclusions.
34 Voir, par analogie, point 58 de mes conclusions dans l’affaire Lindenberg, dans lesquelles je considère que la portée du droit d’obtenir une copie en vertu de l’article 15, paragraphe 3, du RGPD demeure strictement délimitée par sa fonction.
35 Voir encore, à cet égard, arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501, points 69 à 75), dans lequel la Cour analyse si la communication des informations pertinentes peut s’avérer nécessaire pour garantir un traitement équitable et transparent, lui permettant ainsi de faire pleinement valoir les droits qu’elle tire de ce règlement.
36 Voir lignes directrices 01/2022 du comité européen de la protection des données, point 36.
37 En effet, RS fait valoir que, lorsque les informations reçues au cours d’une conversation avec un tiers sont reproduites dans un courriel exactement telles qu’elles ont été reçues (ce qui est le cas, selon lui, dans l’affaire au principal), le tiers lui-même doit être considéré comme étant la « source » des données à caractère personnel contenues dans le courriel.
38 Arrêt du 20 décembre 2017, Nowak (C-434/16, EU:C:2017:994).
39 Voir considérant 63 du RGPD.
40 Voir également, à cet égard, arrêt du 22 juin 2023, Pankki S (C-579/21, EU:C:2023:501, point 77).
41 Voir article 11 de la Charte et article 10 de la convention de sauvegarde des droits de l’homme et libertés fondamentales (CEDH).
42 Tel que protégé en vertu de l’article 7 de la Charte et de l’article 8 de la CEDH.
43 Voir article 11 de la Charte et article 10 de la CEDH.
44 Tel que protégé en vertu de l’article 7 de la Charte et de l’article 8 de la CEDH.
45 Cela étant dit, je reconnais que, dans une telle situation, obtenir des informations concernant l’identité de la source est susceptible de permettre à la personne concernée d’empêcher que les données à caractère personnel la concernant ne continuent à circuler entre différents responsables du traitement (c’est-à-dire empêcher tout « traitement » ultérieur) (voir point 58 des présentes conclusions). Cependant, à mon sens, cette considération ne suffit pas en soi à justifier la communication de l’identité de la source (le tiers) à la personne concernée.
46 À cet égard, je rappelle que, dans le cadre de la procédure de coopération entre les juridictions nationales et la Cour instituée à l’article 267 TFUE, il appartient à celle-ci de donner au juge national une réponse utile qui lui permette de trancher le litige dont il est saisi. Dans cette optique, il incombe, le cas échéant, à la Cour de reformuler les questions qui lui sont soumises et de prendre en considération, au besoin, des normes du droit de l’Union auxquelles le juge national n’a pas fait référence dans l’énoncé de sa question. [voir arrêt du 30 avril 2026, Lidl Italia (Pratiques commerciales déloyales concernant des denrées alimentaires), C-301/25, EU:C:2026:357, point 25].
47 La personne concernée n’a le droit d’obtenir du responsable du traitement les informations énumérées à l’article 15, paragraphe 1, sous a) à h), du RGPD que lorsque les données à caractère personnel la concernant sont traitées.
48 En vertu de l’article 15, paragraphe 1, du RGPD, la personne concernée a également « le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées » (mise en italique par mes soins).
49 Mise en italique par mes soins. Voir également article 82, paragraphe 4, du RGPD et considérant 146 de ce règlement, qui mentionne « tout dommage qu’une personne peut subir du fait d’un traitement ».
50 Voir également, à cet égard, conclusions de l’avocat général Szpunar dans l’affaire Brillen Rottler (C-526/24, ci-après les « conclusions Brillen Rottler », EU:C:2025:723, points 69 à 71).
51 Voir à cet égard la Note de la présidence du Conseil no 9565/15, du 11 juin 2015, « Proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) – Préparation d’une orientation générale », disponible à l’adresse suivante : https://data.consilium.europa.eu/doc/document/ST95652015-INIT/fr/pdf (p. 185).
52 Voir arrêt du 4 octobre 2024, Agentsia po vpisvaniyata (C-200/23, EU:C:2024:827, point 159). Voir également, à cet égard les conclusions Brillen Rottler, dans lesquelles l’avocat général explique au point 70 que l’article 82, paragraphe 2, du RGPD a introduit la responsabilité du sous-traitant, qui ne figurait pas à l’article 23 de la directive 95/46.
53 Mise en italique par mes soins.
54 Point 73.
55 Voir arrêt du 19 mars 2026, Brillen Rottler (C-526/24, ci-après l’« arrêt Brillen Rottler », EU:C:2026:216).
56 Voir point 48. Au point 59 de cet arrêt, la Cour a également rappelé sa jurisprudence constante selon laquelle, pour qu’il existe un droit à réparation, un lien de causalité doit être établi entre le dommage subi et une violation du RGPD, au sens large. À ma connaissance, l’exigence plus restrictive d’un lien de causalité entre ce dommage et un « traitement illicite » (plutôt qu’une « violation du RGPD ») n’apparaît que dans l’arrêt du 4 octobre 2024, Agentsia po vpisvaniyata (C-200/23, EU:C:2024:827, point 159). Elle apparaît également au point 36 de l’arrêt du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C-300/21, EU:C:2023:370), mais le point 32 de cet arrêt mentionne de manière plus générale une « violation du RGPD ».
57 Point 49.
58 Point 53.
59 Ce chapitre inclut, outre les différents droits à l’information prévus aux articles 12 à 15, celui de rectifier les données à caractère personnel (article 16), celui d’effacer ces données (article 17), celui de limiter le traitement des données à caractère personnel (article 18) et le droit à la portabilité des données (article 20).
60 Voir, en ce sens, arrêt Brillen Rottler, point 53.
61 Le chapitre III du RGPD comprend également le droit de s’opposer « à tout moment » à un traitement de données à caractère personnel (article 21 du RGPD). Il me semble que ce droit, contrairement aux autres droits énumérés dans ce chapitre, doit être exercé au moment où ces données font l’objet du traitement, étant donné qu’il fait naître, en principe, une obligation pour le contrôleur de ne plus traiter les données à caractère personnel en question.
62 Il en va de même d’autres obligations imposées aux responsables du traitement par le chapitre III du RGPD, telles que celles prévues aux articles 26 et 30 de ce règlement, dont la violation ne constitue pas un « traitement illicite » (voir, à cet égard, arrêt Brillen Rottler, point 52 et jurisprudence citée).
63 Voir, à cet égard, article 9, paragraphe 5, de la loi sur la responsabilité administrative, dont j’ai rappelé le libellé au point 11 des présentes conclusions.
64 Voir, à cet égard, Kucsko-Stadlmayer, G., « Art. 23 BV-G » in Korinek, K., Holoubek, M., et al (Éd.), Österreichisches Bundesverfassungsrecht, Verlag Österreich, 2013. La base constitutionnelle de l’article 1er de la loi sur la responsabilité administrative est l’article 23 du Bundes-Verfassungsgesetz (loi constitutionnelle fédérale).
65 Voir, à cet égard, arrêts du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs (C-507/23, EU:C:2024:854, point 34 et la jurisprudence citée), et du 4 septembre 2025, Quirin Privatbank (C-655/23, EU:C:2025:655, point 78 et jurisprudence citée).
66 Voir également, à cet égard, considérant 146 du RGPD, aux termes duquel « [l]es personnes concernées devraient recevoir une réparation complète et effective pour le dommage subi ».
67 Voir, à cet égard, arrêts du 11 avril 2024, juris (C-741/21, EU:C:2024:288, point 56), et du 20 juin 2024, PS (Adresse erronée) (C-590/22, EU:C:2024:536, point 38).
68 Voir, à cet égard, arrêts du 20 juin 2024, Scalable Capital (C-182/22 et C-189/22, EU:C:2024:531, points 2 et 23 ainsi que jurisprudence citée), du 20 juin 2024, PS (Adresse erronée) (C-590/22, EU:C:2024:536, point 41), et du 4 septembre 2025, Quirin Privatbank (C-655/23, EU:C:2025:655, point 70 et jurisprudence citée).
69 À cet égard, je relève que le transfert de responsabilité opéré par l’article 1er de la loi sur la responsabilité administrative ne conduit pas nécessairement à une exonération totale de la responsabilité de l’« organe » en question. En effet, conformément à l’article 23, paragraphe 2, de la loi constitutionnelle fédérale et à l’article 3 de la loi sur la responsabilité administrative, une entité juridique de droit public qui a indemnisé une personne concernée pour un dommage causé par l’un de ses « organes » peut en réclamer le remboursement à cet « organe » lorsque ce dernier a agi intentionnellement ou par négligence grave.
Décisions similaires
Citées dans les mêmes commentaires • 3
- Autorité de contrôle ·
- Responsable du traitement ·
- Protection des données ·
- Droit d'accès ·
- Réclamation ·
- Personne concernée ·
- Règlement ·
- Traitement de données ·
- Responsable ·
- Personnes
- Extradition ·
- Etats membres ·
- Charte ·
- Droits fondamentaux ·
- Citoyen ·
- Ressortissant ·
- Procédure préjudicielle ·
- Géorgie ·
- Réfugiés ·
- Juridiction
- Fonctionnaire ·
- Statut ·
- Ordonnance ·
- Commission ·
- Jurisprudence ·
- Avantage ·
- Données ·
- Famille ·
- Recours en annulation ·
- Conjoint
Citant les mêmes articles de loi • 3
- Directive ·
- Consommateur ·
- Contrats ·
- Utilisation ·
- Partage ·
- Délai de prescription ·
- Biens ·
- Jurisprudence ·
- Information ·
- Avance
- Directive ·
- Aide juridictionnelle ·
- Etats membres ·
- Personnes ·
- Charte ·
- Critère ·
- Ressource financière ·
- Bulgarie ·
- Renvoi ·
- Juridiction
- Etats membres ·
- Diffusion ·
- Compétence internationale ·
- Juridiction ·
- Personnalité ·
- Télévision ·
- Jurisprudence ·
- Internet ·
- Atteinte ·
- Règlement
De référence sur les mêmes thèmes • 3
- Directive ·
- Société de capitaux ·
- Apport ·
- Etats membres ·
- Commandite simple ·
- Société en commandite ·
- Sociétés de personnes ·
- Pologne ·
- Impôt indirect ·
- Droit civil
- Réseau ·
- Coûts ·
- Redevance ·
- Directive ·
- Énergie ·
- Électricité ·
- Tarification ·
- Règlement ·
- Distribution ·
- Régime d'aide
- Directive ·
- Dividende ·
- Société mère ·
- Etats membres ·
- Finalité ·
- Avantage fiscal ·
- Filiale ·
- Abus ·
- Distribution ·
- Bénéficiaire
Sur les mêmes thèmes • 3
- Évaluation environnementale ·
- Directive ·
- Plan ·
- Autorisation ·
- Modification ·
- Protection des eaux ·
- Délai de transposition ·
- Autriche ·
- Route ·
- Transposition
- Concordat ·
- Règlement ·
- Mariage ·
- Saint-siège ·
- Juridiction ·
- Italie ·
- Etats membres ·
- Litispendance ·
- Reconnaissance ·
- Divorce
- Protection ·
- Directive ·
- Réfugiés ·
- Statut ·
- Pays tiers ·
- Subsidiaire ·
- Etats membres ·
- Apatride ·
- Ressortissant ·
- Décision d'exécution
Textes cités dans la décision
- RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
- Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
Aucune décision de référence ou d'espèce avec un extrait similaire.