Demande de décision préjudicielle présentée par le Sofiyski rayonen sad (Bulgarie) le 12 septembre 2023 – Teritorialna direktsia na Natsionalna agentsia za prihodite – Sofia
(Affaire C-563/23, Natsionalna agentsia za prihodite)
Langue de procédure : le bulgare
Juridiction de renvoi
Sofiyski rayonen sad
Partie requérante à la procédure au principal
Teritorialna direktsia na Natsionalna agentsia za prihodite – Sofia
Questions préjudicielles
Convient-il d’interpréter l’article 4, point 7, du règlement (UE) 2016/679 1 (le « règlement général sur la protection des données ») en ce sens que : une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires de contribuables, détermine les finalités ou les moyens du traitement des données à caractère personnel et constitue donc un « responsable du traitement » des données à caractère personnel ?
S’il est répondu par la négative à la première question, convient-il d’interpréter l’article 51 du règlement général sur la protection des données en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires de contribuables est chargée de surveiller l’application de ce règlement et la qualité d’« autorité de contrôle » en ce qui concerne ces données ?
S’il est répondu par l’affirmative à l’une des questions précédentes, convient-il d’interpréter l’article 32, paragraphe 1, sous b), du règlement général sur la protection des données, respectivement son article 57, paragraphe 1, sous a), en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires de contribuables est tenue, lorsqu’il existe des informations sur une violation antérieure de la sécurité des données à caractère personnel par l’autorité à laquelle l’accès doit être accordé, de demander des informations sur les mesures qui ont été prises en matière de protection des données et d’examiner l’adéquation de ces mesures lorsqu’elle décide d’accorder ou non l’accès ?
Indépendamment des réponses aux deuxième et troisième questions, convient-il d’interpréter l’article 79, paragraphe 1, du règlement général sur la protection des données, lu en combinaison avec l’article 47 de la charte des droits fondamentaux de l’Union européenne, en ce sens que, lorsque le droit national de l’un des États de l’Union prévoit que certaines catégories de données ne peuvent être divulguées qu’après autorisation judiciaire, la juridiction qui accorde cette autorisation est tenue d’assurer d’office la protection des personnes dont elle divulgue les données en exigeant de l’autorité étatique qui demande l’accès aux données, et dont il est notoire qu’elle s’est vue imposer des dispositions contraignantes par l’autorité visée à l’article 51, paragraphe 1, du règlement général sur la protection des données après avoir commis une violation de la sécurité de données à caractère personnel, de fournir des informations sur la mise en œuvre des mesures qui lui ont été imposées moyennant une décision administrative au titre de l’article 58, paragraphe 2, sous d), du règlement général sur la protection des données ?
____________
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO L 119, 2016, p. 1)