Language of document : ECLI:EU:C:2023:2

ARRÊT DE LA COUR (première chambre)

12 janvier 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 77 à 79 – Voies de recours – Exercice parallèle – Articulation – Autonomie procédurale – Effectivité des règles de protection établies par ce règlement – Application cohérente et homogène de ces règles dans l’ensemble de l’Union européenne – Article 47 de la charte des droits fondamentaux de l’Union européenne »

Dans l’affaire C‑132/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie), par décision du 2 mars 2021, parvenue à la Cour le 3 mars 2021, dans la procédure

BE

contre

Nemzeti Adatvédelmi és Információszabadság Hatóság,

en présence de :

Budapesti Elektromos Művek Zrt.,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,

avocat général : M. J. Richard de la Tour,

greffier : M. I. Illéssy, administrateur,

vu la procédure écrite et à la suite de l’audience du 11 mai 2022,

considérant les observations présentées :

–        pour BE, par Me I. Kulcsár, ügyvéd,

–        pour la Nemzeti Adatvédelmi és Információszabadság Hatóság, par M. G. Barabás, jogtanácsos, Mes G. J. Dudás et Á. Hargita, ügyvédek,

–        pour le gouvernement hongrois, par Mme Zs. Biró-Tóth et M. M. Z. Fehér, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. O. Serdula, M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. E. De Bonis et Mme M. F. Severi, avvocati dello Stato,

–        pour le gouvernement polonais, par M. B. Majczyna et Mme J. Sawicka, en qualité d’agents,

–        pour la Commission européenne, par M. H. Kranenborg, Mme Zs. Teleki et M. P. J. O. Van Nuffel, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 8 septembre 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 77, paragraphe 1, de l’article 78, paragraphe 1, et de l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).

2        Cette demande a été présentée dans le cadre d’un litige opposant BE à la Nemzeti Adatvédelmi és Információszabadság Hatóság (Autorité nationale de la protection des données et de la liberté de l’information, Hongrie, ci-après l’« autorité de contrôle ») au sujet du rejet de la demande de BE de se voir communiquer des extraits de l’enregistrement sonore de l’assemblée générale des actionnaires d’une société à laquelle BE a participé.

 Le cadre juridique

 Le droit de l’Union

3        Aux termes des considérants 10, 11, 141 et 143 du règlement 2016/679 :

« (10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union [européenne], le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. Il convient dès lors d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union. [...]

(11)      Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel [...]

[...]

(141)      Toute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une seule autorité de contrôle, en particulier dans l’État membre où elle a sa résidence habituelle, et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la [charte des droits fondamentaux de l’Union européenne] si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée. [...]

[...]

(143)      [...] toute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. [...] Les actions contre une autorité de contrôle devraient être portées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies. »

4        Les articles 60 à 63 de ce règlement établissent des mécanismes de coopération, d’assistance mutuelle et de contrôle de la cohérence entre les autorités de contrôle des États membres.

5        L’article 77, paragraphe 1, dudit règlement dispose :

« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »

6        L’article 78, paragraphe 1, du même règlement énonce :

« Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne. »

7        L’article 79, paragraphe 1, du règlement 2016/679 prévoit :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

8        L’article 81 de ce règlement, intitulé « Suspension d’une action », est rédigé comme suit :

« 1.      Lorsqu’une juridiction compétente d’un État membre est informée qu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, elle contacte cette juridiction dans l’autre État membre pour confirmer l’existence d’une telle action.

2.      Lorsqu’une action concernant le même objet a été intentée à l’égard d’un traitement effectué par le même responsable du traitement ou le même sous-traitant et est pendante devant une juridiction d’un autre État membre, toute juridiction compétente autre que la juridiction saisie en premier lieu peut suspendre son action.

3.      Lorsque cette action est pendante devant des juridictions du premier degré, toute juridiction autre que la juridiction saisie en premier lieu peut également se dessaisir, à la demande de l’une des parties, à condition que la juridiction saisie en premier lieu soit compétente pour connaître des actions en question et que le droit applicable permette leur jonction. »

 Le droit hongrois

9        L’article 22 de l’az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (loi nº CXII de 2011 sur l’autodétermination en matière d’information et la liberté de l’information), dans sa version applicable au litige au principal, prévoit :

« Dans l’exercice de ses droits, la personne concernée peut, en vertu des dispositions du chapitre VI :

a)      demander à [l’autorité de contrôle] d’ouvrir une enquête sur la licéité d’une mesure adoptée par le responsable du traitement, lorsque celui-ci a restreint l’exercice des droits de la personne concernée prévus à l’article 14 ou a rejeté une demande de la personne concernée tendant à l’exercice par celle-ci de ses droits, et

b)      demander la mise en œuvre par [l’autorité de contrôle] d’une procédure administrative de protection des données lorsqu’elle estime que, lors du traitement de ses données à caractère personnel, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable ou sur la base des instructions de celui-ci a violé les obligations en matière de traitement des données à caractère personnel prévues par ou en vertu de la loi, ou par un acte contraignant de l’Union européenne. »

10      L’article 23 de la loi nº CXII de 2011, dans sa version applicable au litige au principal, énonce :

« 1.      La personne concernée peut agir en justice contre le responsable du traitement ou contre le sous-traitant en ce qui concerne les opérations de traitement relevant des activités de celui-ci, si elle estime que le responsable du traitement ou le sous-traitant agissant pour le compte du responsable ou sur la base des instructions de celui-ci a traité ses données à caractère personnel en violation des obligations en matière de traitement des données à caractère personnel prévues par ou en vertu de la loi, ou par un acte contraignant de l’Union européenne.

[...]

4.      Peut également être partie à la procédure juridictionnelle une personne qui n’a pas, par ailleurs, la capacité d’ester en justice. [L’autorité de contrôle] peut intervenir dans la procédure juridictionnelle au soutien des conclusions de la personne concernée.

5.      Si la juridiction fait droit au recours, elle constate l’existence de la violation, ordonne au responsable du traitement ou au sous-traitant

(a)      de faire cesser l’opération de traitement de données illicite,

(b)      de rétablir la licéité du traitement des données ou

(c)      d’adopter un comportement déterminé pour assurer l’effectivité des droits de la personne concernée,

et, si nécessaire, se prononce par la même occasion sur les demandes d’indemnisation du dommage matériel et du dommage moral. »

 Les faits du litige au principal et les questions préjudicielles

11      Le 26 avril 2019, BE a assisté à l’assemblée générale d’une société anonyme dont il est actionnaire et a, à cette occasion, posé des questions aux membres du conseil d’administration de cette société ainsi qu’à d’autres participants à cette assemblée générale. Par la suite, BE a demandé à ladite société, en tant que responsable du traitement de données à caractère personnel, de lui communiquer l’enregistrement sonore réalisé lors de ladite assemblée générale.

12      La société en question n’a mis à la disposition de BE que les extraits de cet enregistrement reproduisant ses interventions, à l’exclusion de celles des autres participants à l’assemblée générale en cause.

13      BE a alors demandé à l’autorité de contrôle, d’une part, de constater que, en ne lui délivrant pas ledit enregistrement incluant les réponses données à ses questions, cette société a agi d’une manière illicite et en violation du règlement 2016/679 ainsi que, d’autre part, d’ordonner à ladite société de lui communiquer l’enregistrement en cause. L’autorité de contrôle a rejeté cette demande par une décision du 29 novembre 2019.

14      BE a introduit un recours contre cette décision de l’autorité de contrôle devant la juridiction de renvoi, sur le fondement de l’article 78, paragraphe 1, de ce règlement, en vue de la réformation, à titre principal, ou de l’annulation, à titre subsidiaire, de ladite décision.

15      Parallèlement à la saisine de l’autorité de contrôle, BE a introduit un second recours, cette fois, au titre de l’article 79, paragraphe 1, de ce règlement, devant une juridiction civile, à savoir la Fővárosi Ítélőtábla (cour d’appel régionale de Budapest-Capitale, Hongrie) et dirigé contre la décision du responsable du traitement des données.

16      Alors que le premier de ces recours est toujours pendant devant la juridiction de renvoi, la Fővárosi Ítélőtábla (cour d’appel régionale de Budapest-Capitale, Hongrie) a, par un jugement devenu définitif, fait droit au second recours au motif que le responsable du traitement avait violé le droit d’accès de BE à ses données à caractère personnel.

17      La juridiction de renvoi indique qu’elle doit examiner les mêmes faits et la même allégation de violation du règlement 2016/679 que ceux sur lesquels la Fővárosi Ítélőtábla (cour d’appel régionale de Budapest-Capitale, Hongrie) a déjà statué de manière définitive. Elle demande de quelle manière il lui appartient d’articuler l’appréciation, par une juridiction civile, de la légalité d’une décision adoptée par le responsable du traitement de données à caractère personnel avec la procédure administrative qui a abouti à l’adoption de la décision de l’autorité de contrôle visée au point 13 du présent arrêt, faisant l’objet du recours pendant devant elle et, en particulier, si une voie de recours serait prioritaire par rapport à l’autre.

18      En effet, un exercice parallèle des voies de recours prévues aux articles 77 à 79 du règlement 2016/679 pourrait donner lieu à l’adoption de décisions contradictoires concernant des faits identiques.

19      Une telle situation risquerait de porter atteinte à la sécurité juridique en ce qui concerne tant les personnes privées que les autorités de contrôle.

20      La juridiction de renvoi indique que, eu égard à l’indépendance des autorités de contrôle ainsi qu’à la prépondérance de leurs compétences, définies par le règlement 2016/679, dans le système de la protection des données à caractère personnel, les missions et les pouvoirs de ces autorités seraient compromis si celles-ci étaient liées, dans leurs appréciations, par celles d’une juridiction civile préalablement saisie des mêmes faits, sur le fondement de l’article 79, paragraphe 1, de ce règlement.

21      Dès lors que les dispositions dudit règlement ne prévoient aucune règle de priorité entre les voies de recours prévues aux articles 77 à 79 de celui-ci, la juridiction de renvoi considère qu’il appartient à la Cour de clarifier le rapport existant entre ces voies de recours.

22      Dans ces conditions, la Fővárosi Törvényszék (cour de Budapest-Capitale, Hongrie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1)      Les articles 77, paragraphe 1, et 79, paragraphe 1, du règlement [2016/679] doivent-ils être interprétés en ce sens que le recours administratif prévu à l’article 77 serait une voie d’application du droit de droit public, tandis que le recours juridictionnel prévu à l’article 79 serait une voie d’application du droit de droit privé ? Dans l’affirmative, faut-il en déduire que l’autorité de contrôle compétente pour connaître des recours administratifs jouit d’une compétence prioritaire pour constater l’existence d’une violation ?

2)      Lorsque la personne concernée, estimant que le traitement de données à caractère personnel la concernant a violé le règlement [2016/679], exerce à la fois le droit de réclamation prévu à l’article 77, paragraphe 1, [de ce règlement] et le droit de recours juridictionnel prévu à l’article 79, paragraphe 1, dudit règlement, laquelle des deux interprétations suivantes est conforme à l’article 47 de la charte des droits fondamentaux :

a)      l’autorité de contrôle et la juridiction saisie sont tenues d’examiner chacune de son côté s’il existe une violation, même si cela devait aboutir à des résultats différents, ou

b)      la décision de l’autorité de contrôle prévaut dans l’appréciation de l’existence de la violation, compte tenu de l’habilitation prévue à l’article 51, paragraphe 1, et des pouvoirs conférés par l’article 58, paragraphe 2, sous b) et d), du règlement ?

3)      Le statut indépendant conféré à l’autorité de contrôle par l’article 51, paragraphe 1, et par l’article 52, paragraphe 1, du règlement [2016/679] doit-il être interprété en ce sens que ladite autorité, lorsqu’elle traite une réclamation au titre de l’article 77 [de ce règlement] et statue sur celle-ci, n’est pas liée par le contenu d’un jugement définitif d’une juridiction compétente en vertu de l’article 79 [dudit règlement], de sorte qu’elle peut même rendre une décision différente sur la même violation alléguée ? »

 Sur les questions préjudicielles

 Sur la recevabilité

23      La Commission européenne exprime des doutes quant à la recevabilité des questions préjudicielles. Elle relève que, ainsi qu’il ressort de la demande de décision préjudicielle, à la date de cette dernière, tant l’autorité de contrôle que la juridiction civile avaient rendu leurs décisions, de telle sorte que ces questions sont, en tant que telles, hypothétiques. En réalité, la juridiction de renvoi s’interrogerait sur l’articulation entre les décisions respectives de deux juridictions nationales, à savoir la juridiction administrative et la juridiction civile. Cette question n’aurait cependant pas été formulée dans la décision de renvoi.

24      À cet égard, il convient de rappeler que les questions relatives à l’interprétation du droit de l’Union posées par le juge national dans le cadre réglementaire et factuel qu’il définit sous sa propre responsabilité, et dont il n’appartient pas à la Cour de vérifier l’exactitude, bénéficient d’une présomption de pertinence. Le rejet par la Cour d’une demande formée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées [arrêt du 10 février 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Délai de prescription), C‑219/20, EU:C:2022:89, point 20 et jurisprudence citée].

25      En outre, la demande de décision préjudicielle doit contenir, conformément à l’article 94, sous c), du règlement de procédure de la Cour, l’exposé des raisons qui ont conduit la juridiction de renvoi à s’interroger sur l’interprétation de certaines dispositions du droit de l’Union ainsi que le lien qu’elle établit entre ces dispositions et la législation nationale applicable au litige au principal.

26      Dans la présente affaire, il est certes constant que l’autorité de contrôle, qui avait été saisie sur le fondement de l’article 77, paragraphe 1, du règlement 2016/679, a rendu sa décision avant la saisine de la juridiction civile qui a statué sur le recours introduit par BE sur le fondement de l’article 79, paragraphe 1, de ce règlement. Il ressort des faits exposés par la juridiction de renvoi que ce recours a donné lieu à un jugement devenu définitif. En outre, il est vrai que la juridiction de renvoi a mentionné uniquement ces deux dispositions dans les questions préjudicielles qu’elle a déférées à la Cour.

27      Cependant, le fait que la juridiction de renvoi a formulé une question en se référant seulement à certaines dispositions du droit de l’Union ne fait pas obstacle à ce que la Cour lui fournisse tous les éléments d’interprétation qui peuvent être utiles au jugement de l’affaire dont elle est saisie, qu’elle y ait fait ou non référence dans l’énoncé de ses questions. Il appartient, à cet égard, à la Cour d’extraire de l’ensemble des éléments fournis par la juridiction de renvoi, et notamment de la motivation de la décision de renvoi, les éléments du droit de l’Union qui appellent une interprétation compte tenu de l’objet du litige [arrêt du 10 février 2022, Bezirkshauptmannschaft Hartberg-Fürstenfeld (Délai de prescription), C‑219/20, EU:C:2022:89, point 34 et jurisprudence citée].

28      Or, d’une part, la juridiction de renvoi indique que, en vertu du droit procédural national, elle n’est pas liée par le jugement définitif rendu par la juridiction civile qui a statué sur le recours introduit par BE sur le fondement de l’article 79, paragraphe 1, du règlement 2016/679. D’autre part, BE ne s’étant pas désistée de son recours devant la juridiction de renvoi, introduit sur le fondement de l’article 78, paragraphe 1, de ce règlement et visant à obtenir la réformation voire l’annulation de la décision de l’autorité de contrôle visée au point 13 du présent arrêt, il appartiendrait à cette dernière juridiction de statuer sur la légalité de cette décision rendue avant que le jugement de la juridiction civile n’ait été prononcé.

29      Ainsi, par ses questions, la juridiction de renvoi, qui est saisie d’un recours, sur le fondement de l’article 78, paragraphe 1, du règlement 2016/679, contre cette décision de l’autorité de contrôle rendue sur le fondement de l’article 77, paragraphe 1, de ce règlement, souhaite savoir si, en vertu des dispositions de ce dernier, le jugement définitif adopté par une juridiction, saisie au titre de l’article 79, paragraphe 1, dudit règlement, est contraignant quant à la constatation de l’existence ou non d’une violation des droits garantis par le même règlement.

30      Dans ces conditions, afin d’apporter une réponse utile à la juridiction de renvoi, il y a lieu de considérer que, par ses questions, qu’il convient d’examiner ensemble, cette juridiction demande, en substance, si l’article 77, paragraphe 1, l’article 78, paragraphe 1, et l’article 79, paragraphe 1, du règlement 2016/679, lus à la lumière de l’article 47 de la charte des droits fondamentaux (ci-après la « Charte »), doivent être interprétés en ce sens que les voies de recours prévues, d’une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d’autre part, à cet article 79, paragraphe 1, sont susceptibles d’être exercées de manière concurrente et indépendante, ou si l’une d’entre elles revêt un caractère prioritaire.

31      Les questions préjudicielles ainsi reformulées sont, dès lors, recevables.

 Sur le fond

32      À titre liminaire, il y a lieu de rappeler que, conformément à une jurisprudence constante de la Cour, afin d’interpréter une disposition du droit de l’Union, il convient de tenir compte non seulement des termes de celle-ci, mais également de son contexte et des objectifs poursuivis par la réglementation dont elle fait partie (arrêt du 2 décembre 2021, Vodafone Kabel Deutschland, C-484/20, EU:C:2021:975, point 19 et jurisprudence citée).

33      S’agissant du libellé des dispositions du règlement 2016/679 visées au point 30 du présent arrêt, il convient de rappeler, tout d’abord, que l’article 77, paragraphe 1, de ce règlement précise que c’est « sans préjudice de tout autre recours administratif ou juridictionnel » que toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle. Ensuite, aux termes de l’article 78, paragraphe 1, dudit règlement, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne « sans préjudice de tout autre recours administratif ou extrajudiciaire ». Enfin, l’article 79, paragraphe 1, du même règlement garantit à chaque personne concernée le droit à un recours juridictionnel effectif « sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77 ».

34      Ainsi, ces dispositions du règlement 2016/679 offrent différentes voies de recours aux personnes invoquant une violation de ce règlement, étant entendu que chacune de ces voies de recours doit pouvoir être exercée « sans préjudice » des autres.

35      Il résulte, tout d’abord, du libellé de ces dispositions que le règlement 2016/679 ne prévoit pas de compétence prioritaire ou exclusive ni aucune règle de primauté de l’appréciation effectuée par l’autorité ou par les juridictions qui y sont visées quant à l’existence d’une violation des droits conférés par ce règlement. Le recours prévu à l’article 78, paragraphe 1, de ce dernier, dont l’objet est l’examen de la légalité de la décision d’une autorité de contrôle adoptée sur le fondement de l’article 77 dudit règlement, et celui prévu à l’article 79, paragraphe 1, du même règlement peuvent donc être exercés de manière concurrente et indépendante.

36      Ensuite, une telle constatation est confirmée par le contexte dans lequel s’inscrivent les dispositions du règlement 2016/679 en cause.

37      En effet, alors que le législateur de l’Union a expressément réglementé la relation entre les recours prévus par le règlement 2016/679 en cas de saisine simultanée d’autorités de contrôle ou de juridictions de plusieurs États membres à l’égard d’un traitement de données à caractère personnel effectué par le même responsable du traitement, force est de constater que tel n’est pas le cas en ce qui concerne les voies de recours prévues aux articles 77 à 79 de ce règlement.

38      D’une part, les articles 60 à 63 du règlement 2016/679 prévoient des mécanismes de coopération, d’assistance mutuelle et de coordination en vertu desquels les autorités de contrôle se portent mutuellement assistance, s’informent et mènent des opérations conjointes en vue d’assurer une application cohérente et efficace des dispositions de ce règlement dans l’ensemble de l’Union.

39      D’autre part, l’article 81, paragraphes 2 et 3, dudit règlement prévoit des règles visant des cas de saisine de plusieurs juridictions d’États membres différents.

40      En revanche, de telles règles ne sont pas prévues par le règlement 2016/679 lorsqu’une réclamation auprès d’une autorité de contrôle et des recours juridictionnels sont introduits au sein d’un même État membre au sujet d’un même traitement de données à caractère personnel.

41      Par ailleurs, il découle de l’article 78, paragraphe 1, du règlement 2016/679, lu à la lumière du considérant 143 de ce règlement, que les juridictions saisies d’un recours contre une décision d’une autorité de contrôle devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies.

42      Enfin, s’agissant des objectifs poursuivis par ledit règlement, il ressort notamment du considérant 10 de ce dernier que celui-ci vise à assurer un niveau élevé de protection des personnes physiques à l’égard du traitement des données à caractère personnel au sein de l’Union. Le considérant 11 du même règlement énonce, en outre, qu’une protection effective de ces données exige de renforcer les droits des personnes concernées. Ainsi que l’a relevé M. l’avocat général au point 55 de ses conclusions, le choix fait par le législateur de l’Union de laisser aux personnes concernées la possibilité d’exercer de façon concurrente et indépendante les voies de recours prévues, d’une part, à l’article 77, paragraphe 1, et à l’article 78, paragraphe 1, du règlement 2016/679 et, d’autre part, à l’article 79, paragraphe 1, de ce règlement s’inscrit dans l’objectif dudit règlement.

43      En effet, le règlement 2016/679 impose notamment aux autorités compétentes des États membres la tâche d’assurer un niveau élevé de protection des droits garantis à l’article 16 TFUE et à l’article 8 de la Charte (voir, en ce sens, arrêt du 15 juin 2021, Facebook Ireland e.a., C‑645/19, EU:C:2021:483, point 45).

44      La mise à disposition de plusieurs voies de recours renforce également l’objectif énoncé au considérant 141 du règlement 2016/679 de garantir à toute personne concernée estimant que les droits que lui confère ce règlement sont violés de disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte.

45      En l’absence de réglementation de l’Union en la matière, il appartient à chaque État membre, en vertu du principe d’autonomie procédurale des États membres, de régler les modalités des procédures administrative et juridictionnelle destinées à assurer un niveau élevé de sauvegarde des droits que les justiciables tirent du droit de l’Union.

46      Partant, c’est sur le fondement des dispositions procédurales nationales qu’il appartient à la juridiction de renvoi de déterminer comment les voies de recours prévues par le règlement 2016/679 doivent être mises en œuvre dans un cas comme celui en cause au principal.

47      Cela étant, les modalités de mise en œuvre de ces voies de recours concurrentes et indépendantes ne devraient pas remettre en cause l’effet utile et la protection effective des droits garantis par ce règlement.

48      En effet, ces modalités ne doivent pas être moins favorables que celles concernant des recours similaires prévus pour la protection des droits tirés de l’ordre juridique interne (principe d’équivalence) ni rendre en pratique impossible ou excessivement difficile l’exercice des droits conférés par l’ordre juridique de l’Union (principe d’effectivité) (voir, en ce sens, arrêt du 14 juillet 2022, EPIC Financial Consulting, C‑274/21 et C‑275/21, EU:C:2022:565, point 73 et jurisprudence citée).

49      Or, il incombe aux juridictions des États membres, en vertu du principe de coopération loyale énoncé à l’article 4, paragraphe 3, TUE, d’assurer la protection juridictionnelle des droits que les justiciables tirent du droit de l’Union, l’article 19, paragraphe 1, TUE imposant, par ailleurs, aux États membres d’établir les voies de recours nécessaires pour assurer une protection juridictionnelle effective dans les domaines couverts par le droit de l’Union (arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 57).

50      En particulier, lorsque les États membres définissent les modalités procédurales des recours en justice destinés à assurer la sauvegarde des droits conférés par le règlement 2016/679, ils doivent garantir le respect du droit à un recours effectif et à accéder à un tribunal impartial, consacré à l’article 47 de la Charte, qui constitue une réaffirmation du principe de protection juridictionnelle effective (voir, par analogie, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 59).

51      Ainsi, les États membres doivent s’assurer que les modalités concrètes d’exercice des voies de recours prévues à l’article 77, paragraphe 1, à l’article 78, paragraphe 1, et à l’article 79, paragraphe 1, du règlement 2016/679 n’affectent pas de manière disproportionnée le droit à un recours effectif devant un tribunal visé à l’article 47 de la Charte (voir, en ce sens, arrêt du 27 septembre 2017, Puškár, C‑73/16, EU:C:2017:725, point 76).

52      En l’occurrence, il ressort de la décision de renvoi que le système de voies de recours prévu par le droit hongrois est conçu de telle sorte que les recours prévus à l’article 78, paragraphe 1, et à l’article 79, paragraphe 1, du règlement 2016/679 sont indépendants. En effet, la juridiction de renvoi précise que, en vertu de ce droit, elle n’est pas liée par la décision rendue par la juridiction saisie d’un recours introduit sur le fondement de cet article 79, paragraphe 1, bien que les faits dont ces juridictions sont saisies soient les mêmes.

53      Dès lors, il ne saurait être exclu que les décisions rendues par ces deux juridictions se contredisent, l’une constatant une violation des dispositions du règlement 2016/679 et l’autre l’absence d’une telle violation.

54      Dans cette hypothèse, d’une part, l’existence de deux décisions contradictoires remettrait en cause l’objectif d’assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union, énoncé au considérant 10 de ce règlement.

55      En effet, la protection accordée en vertu d’une décision rendue à la suite d’un recours introduit sur le fondement de l’article 79, paragraphe 1, dudit règlement, constatant une violation des dispositions de ce dernier, ne serait pas en cohérence avec une seconde décision juridictionnelle résultant d’un recours introduit sur le fondement de l’article 78, paragraphe 1, du même règlement, ayant une issue opposée.

56      Il en résulterait, d’autre part, un affaiblissement de la protection des personnes physiques à l’égard du traitement de données à caractère personnel les concernant, dès lors qu’une telle incohérence créerait une situation d’insécurité juridique.

57      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre aux questions posées que l’article 77, paragraphe 1, l’article 78, paragraphe 1, et l’article 79, paragraphe 1, du règlement 2016/679, lus à la lumière de l’article 47 de la Charte, doivent être interprétés en ce sens qu’ils permettent un exercice concurrent et indépendant des voies de recours prévues, d’une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d’autre part, à cet article 79, paragraphe 1. Il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation de ces voies de recours afin que soient assurés l’effectivité de la protection des droits garantis par ce règlement, l’application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal, visé à l’article 47 de la Charte.

 Sur les dépens

58      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 77, paragraphe 1, l’article 78, paragraphe 1, et l’article 79, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), lus à la lumière de l’article 47 de la charte des droits fondamentaux de l’Union européenne,

doivent être interprétés en ce sens que :

ils permettent un exercice concurrent et indépendant des voies de recours prévues, d’une part, à cet article 77, paragraphe 1, et à cet article 78, paragraphe 1, ainsi que, d’autre part, à cet article 79, paragraphe 1. Il appartient aux États membres, en accord avec le principe de l’autonomie procédurale, de prévoir les modalités d’articulation de ces voies de recours afin que soient assurés l’effectivité de la protection des droits garantis par ce règlement, l’application cohérente et homogène des dispositions de ce dernier ainsi que le droit à un recours effectif devant un tribunal, visé à l’article 47 de la charte des droits fondamentaux.

Signatures

*      Langue de procédure : le hongrois.