Demande de décision préjudicielle présentée par le Sofiyski rayonen sad (Bulgarie) le 25 mai 2023 – Inspektorat kam Visshia sadeben savet
(Affaire C-332/23, Inspektorat kam Visshia sadeben savet)
Langue de procédure : le bulgare
Juridiction de renvoi
Sofiyski rayonen sad
Partie dans la procédure au principal
Partie requérante : Inspektorat kam Visshia sadeben savet
Questions préjudicielles
Convient-il d’interpréter l’article 19, paragraphe 1, deuxième alinéa, TUE, lu en combinaison avec l’article 47, deuxième alinéa, de la Charte des droits fondamentaux de l’Union européenne, en ce sens que le fait qu’une autorité, qui peut infliger des sanctions disciplinaires aux juges et qui a le pouvoir de récolter des données sur leur patrimoine, demeure en fonctions au-delà de la fin du mandat constitutionnellement établi pour elle, sans date de fin clairement définie, constitue- en soi ou sous certaines conditions – une violation de l’exigence imposée aux États membres de garantir des voies de recours effectives en vue d’un contrôle juridictionnel indépendant ? Et si une telle extension dans le temps des pouvoirs est permise, à quelles conditions ?
Convient-il d’interpréter l’article 2, paragraphe 2, sous a), du règlement (UE) 2016/679 1 […] (ci-après, le « RGPD ») en ce sens que l’activité de levée du secret bancaire aux fins de la vérification du patrimoine des magistrats, patrimoine qui est ensuite rendu public, constitue une activité qui ne relève pas du champ d’application du droit de l’Union européenne ? La réponse se trouve-t-elle modifiée lorsque cette activité implique également la divulgation de données sur les membres de la famille des magistrats lesquels n’ont pas la qualité de magistrat ?
S’il est répondu à la deuxième question en ce sens que le droit de l’Union européenne est applicable : convient-il d’interpréter l’article 4, point 7, du RGPD en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires des magistrats et des membres de leurs familles, détermine les finalités ou les moyens du traitement des données à caractère personnel et constitue donc un « responsable du traitement » des données à caractère personnel ?
S’il est répondu à la deuxième question en ce sens que le droit de l’Union européenne est applicable et par la négative à la troisième question : convient-il d’interpréter l’article 51 du RGPD en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires des magistrats et des membres de leurs familles, est chargée de surveiller l’application du RGPD et a donc la qualité d’« autorité de contrôle » en ce qui concerne ces données ?
S’il est répondu à la deuxième question en ce sens que le droit de l’Union européenne est applicable et par l’affirmative à l’une des troisième ou quatrième questions : convient-il d’interpréter l’article 32, paragraphe 1, sous b), du RGPD, respectivement son article 57, paragraphe 1, sous a), en ce sens qu’une autorité judiciaire, laquelle autorise une autre autorité étatique à accéder aux données relatives aux soldes des comptes bancaires des magistrats et des membres de leurs familles, est tenue, lorsqu’il existe des informations sur une violation antérieure de la sécurité des données à caractère personnel par l’autorité à laquelle l’accès doit être accordé, de demander des informations sur les mesures qui ont été prises pour la protection des données et d’examiner l’adéquation de ces mesures lorsqu’elle décide d’accorder ou non l’accès ?
S’il est répondu à la deuxième question en ce sens que le droit de l’Union européenne est applicable et indépendamment des réponses données à la troisième ou à la quatrième question : convient-il d’interpréter l’article 79, paragraphe 1, du RGPD, lu en combinaison avec l’article 47 de la charte des droits fondamentaux de l’Union européenne, en ce sens que lorsque le droit national de l’un des États de l’Union prévoit que certaines catégories de données ne peuvent être divulguées qu’après autorisation judiciaire, la juridiction qui accorde cette autorisation est tenue d’assurer d’office la protection des personnes dont elle divulgue les données en exigeant de l’autorité étatique qui demande l’accès aux données, et dont il est notoire qu’elle a rendu possible une violation de la sécurité de données à caractère personnel, qu’elle fournisse des informations sur les mesures prises en vertu de l’article 33, paragraphe 3, sous d), du RGPD et sur leur mise en œuvre effective ?
____________
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (JO 2016, L 119, p. 1).