CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2022:406

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ-BORDONA

présentées le 19 mai 2022 (1)

Affaire C‑180/21

contre

Inspektor v Inspektorata kam Visshia sadeben savet

autre partie à la procédure :

Teritorialno otdelenie – Petrich kam Rayonna prokuratura – Blagoevgrad

[demande de décision préjudicielle introduite par l’Administrativen sad Blagoevgrad (tribunal administratif de Blagoevgrad, Bulgarie)]

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Articles 4 et 6 – Directive (UE) 2016/680 – Articles 1, 2 à 4 et 9 – Légitimation du traitement des données personnelles dans le cadre d’une procédure pénale – Traitement des données relatives à la victime d’une infraction pénale aux fins de son accusation ultérieure et de la défense du parquet dans une procédure civile – Notion de “fins autres que celles pour lesquelles les données avaient été collectées” »

1. L’un des principes de base du règlement (UE) 2016/679 (2), qui constitue la réglementation générale en matière de protection des données à caractère personnel, et de la directive (UE) 2016/680 (3) (lex specialis dans le même domaine pour ce qui concerne les procédures pénales) est celui consistant à limiter la collecte de ces données et leur traitement aux fins spécifiques prévues par la loi.

2. Dans la présente affaire, la Cour est appelée à répondre aux doutes d’une juridiction bulgare sur l’interprétation du RGPD et de la directive 2016/680, afin de clarifier si l’on est en présence d’un traitement illicite des données à caractère personnel détenues par le parquet d’un État membre, lorsque :

— d’une part, lesdites données ont été obtenues d’une personne qui apparaissait initialement en tant que victime, mais qui a été accusée par la suite dans le cadre de la même procédure pénale ;

— d’autre part, le parquet cherche à utiliser, pour sa défense, les données obtenues au cours de différentes procédures pénales, en tant que moyen de preuve dans le cadre d’une action civile par laquelle son auteur tend à obtenir des dommages-intérêts pour la durée excessive de la procédure pénale.

I. Le cadre juridique

A. Le droit de l’Union

1. Le RGPD

3. En vertu de l’article 2 (« Champ d’application matériel ») du RGPD :

« 1. Le présent règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[...]

d) par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et compris la protection contre des menaces pour la sécurité publique et la prévention de telles menaces.

[...] »

4. L’article 4 (« Définitions ») du RGPD dispose :

« Aux fins du présent règlement, on entend par :

[...]

2) “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ;

[...]

7) “responsable du traitement”, la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre ;

[...] »

5. L’article 5 (« Principes relatifs au traitement des données à caractère personnel ») du RGPD prévoit :

« 1. Les données à caractère personnel doivent être :

a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;

c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

[...] »

6. Aux termes de l’article 6 (« Licéité du traitement ») du RGPD :

« 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...]

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;

[...]

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Le point f) du premier alinéa ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

[...]

3. Le fondement du traitement visé au paragraphe 1, points c) et e), est défini par :

a) le droit de l’Union ; ou

b) le droit de l’État membre auquel le responsable du traitement est soumis.

Les finalités du traitement sont définies dans cette base juridique ou, en ce qui concerne le traitement visé au paragraphe 1, point e), sont nécessaires à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Cette base juridique peut contenir des dispositions spécifiques pour adapter l’application des règles du présent règlement [...] Le droit de l’Union ou le droit des États membres répond à un objectif d’intérêt public et est proportionné à l’objectif légitime poursuivi.

4. Lorsque le traitement à une fin autre que celle pour laquelle les données ont été collectées n’est pas fondé sur le consentement de la personne concernée ou sur le droit de l’Union ou le droit d’un État membre qui constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir les objectifs visés à l’article 23, paragraphe 1, le responsable du traitement, afin de déterminer si le traitement à une autre fin est compatible avec la finalité pour laquelle les données à caractère personnel ont été initialement collectées, tient compte, entre autres :

a) de l’existence éventuelle d’un lien entre les finalités pour lesquelles les données à caractère personnel ont été collectées et les finalités du traitement ultérieur envisagé ;

b) du contexte dans lequel les données à caractère personnel ont été collectées, en particulier en ce qui concerne la relation entre les personnes concernées et le responsable du traitement ;

c) de la nature des données à caractère personnel, en particulier si le traitement porte sur des catégories particulières de données à caractère personnel, en vertu de l’article 9, ou si des données à caractère personnel relatives à des condamnations pénales et à des infractions sont traitées, en vertu de l’article 10 ;

d) des conséquences possibles du traitement ultérieur envisagé pour les personnes concernées ;

e) de l’existence de garanties appropriées, qui peuvent comprendre le chiffrement ou la pseudonymisation. »

2. La directive 2016/680

7. En vertu de l’article 1^er de la directive 2016/680 (« Objet et objectifs ») :

« 1. La présente directive établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces.

2. Conformément à la présente directive, les États membres :

a) protègent les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel [...]

[...] »

8. L’article 2 (« Champ d’application ») de cette directive dispose :

« 1. La présente directive s’applique au traitement de données à caractère personnel effectué par les autorités compétentes aux fins énoncées à l’article 1^er, paragraphe 1.

[...]

3. La présente directive ne s’applique pas au traitement de données à caractère personnel effectué :

a) dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union ;

[...] »

9. L’article 3, paragraphes 1, 2 et 8, de ladite directive fait siennes les définitions de l’article 4, paragraphes 1, 2 et 7, du RGPD.

10. L’article 4 (« Principes relatifs au traitement des données à caractère personnel ») de la même directive prévoit :

« [...]

2. Le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1^er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que :

a) le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre ; et

b) le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union ou au droit d’un État membre.

[...] »

11. L’article 6 (« Distinction entre différentes catégories de personnes concernées ») de la directive 2016/680 dispose :

« Les États membres prévoient que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :

a) les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;

b) les personnes reconnues coupables d’une infraction pénale ;

c) les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ; et

d) les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales, ou des contacts ou des associés de l’une des personnes visées aux points a) et b). »

12. Aux termes de l’article 8 (« Licéité du traitement ») de cette directive :

« 1. Les États membres prévoient que le traitement n’est licite que si et dans la mesure où il est nécessaire à l’exécution d’une mission effectuée par une autorité compétente, pour les finalités énoncées à l’article 1^er, paragraphe 1, et où il est fondé sur le droit de l’Union ou le droit d’un État membre.

2. Une disposition du droit d’un État membre qui réglemente le traitement relevant du champ d’application de la présente directive précise au moins les objectifs du traitement, les données à caractère personnel devant faire l’objet d’un traitement et les finalités du traitement. »

13. En vertu de l’article 9 (« Conditions spécifiques applicables au traitement ») de ladite directive :

« 1. Les données à caractère personnel collectées par les autorités compétentes pour les finalités énoncées à l’article 1^er, paragraphe 1, ne peuvent être traitées à des fins autres que celles énoncées à l’article 1^er, paragraphe 1, à moins qu’un tel traitement ne soit autorisé par le droit de l’Union ou le droit d’un État membre. Lorsque des données à caractère personnel sont traitées à de telles autres fins, le [RGPD] s’applique, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.

2. Lorsque les autorités compétentes sont chargées par le droit d’un État membre d’exécuter des missions autres que celles exécutées pour les finalités énoncées à l’article 1^er, paragraphe 1, le [RGPD] s’applique au traitement effectué à de telles fins, et compris à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques, à moins que le traitement ne soit effectué dans le cadre d’une activité ne relevant pas du champ d’application du droit de l’Union.

[...] »

B. Le droit bulgare

1. La Constitution de la République de Bulgarie

14. L’article 127 de la Constitution de la République de Bulgarie (4) établit la compétence exclusive du parquet pour la direction de l’instruction pénale, l’imputation de la responsabilité pénale et le soutien de l’accusation dans des affaires pénales relevant de l’action publique.

2. Le Zakon za zashtita na lichnite danni

15. L’article 1^er du Zakon za zashtita na lichnite danni (loi relative à la protection des données à caractère personnel) (5) dispose :

« (1) La présente loi régit les relations publiques relatives à la protection des droits des personnes physiques à l’égard du traitement de leurs données à caractère personnel dans la mesure où celles‑ci ne sont pas régies par le [RGPD].

(2) La présente loi établit également des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et compris la protection contre les menaces pour la sécurité et l’ordre publics, et la prévention de telles menaces.

[...] »

16. L’article 17 de la loi relative à la protection des données à caractère personnel prévoit :

« (1) [L’Inspektorat kam Visshia sadeben savet (Inspection près le Conseil supérieur de la magistrature, Bulgarie, ci-après l’« IVSS »)] assure le contrôle et le respect du [RGPD], de la présente loi et des actes en matière de protection des données à caractère personnel à l’égard du traitement des données à caractère personnel par :

1. la juridiction dans l’exercice de ses fonctions d’autorité du pouvoir judiciaire, et

2. le parquet et les autorités d’enquête dans l’exercice de leurs fonctions d’autorités judiciaires aux fins de la prévention, de la détection, de l’instruction ou de la poursuite d’infractions pénales ou de l’exécution de sanctions pénales.

[...] »

17. En vertu de l’article 42 de la loi relative à la protection des données à caractère personnel :

« (1) Les règles du présent chapitre s’appliquent en cas de traitement de données à caractère personnel par des autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et compris de protection contre les menaces pour la sécurité et l’ordre publics, et la prévention de telles menaces.

(2) Les données à caractère personnel collectées aux fins visées au paragraphe 1 ne sont pas traitées à d’autres fins, sauf si le droit de l’Union ou la législation de la République de Bulgarie en disposent autrement.

(3) Lorsque les autorités compétentes en vertu du paragraphe 1 traitent des données à caractère personnel à des fins autres que celles visées au paragraphe 1 ainsi que dans les cas visés au paragraphe 2, le [RGPD] et les dispositions pertinentes de la présente loi qui introduisent des mesures d’application de celui‑ci s’appliquent.

(4) On entend par “autorité compétente”, au sens du paragraphe 1, toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, et compris la protection contre les menaces pour la sécurité et l’ordre publics, et la prévention de telles menaces.

(5) Sauf disposition législative contraire, un responsable du traitement, au sens du présent chapitre, de données à caractère personnel aux fins visées au paragraphe 1 est une autorité compétente au sens du paragraphe 4 ou l’entité administrative dont cette autorité fait partie qui, seule ou conjointement avec d’autres autorités, détermine les finalités et les moyens du traitement des données à caractère personnel. »

18. Aux termes de l’article 45 de la loi relative à la protection des données à caractère personnel :

« [...]

(2) Le traitement des données à caractère personnel effectué par le responsable du traitement qui les a collectées initialement ou par un autre responsable du traitement pour l’une quelconque des fins visées à l’article 42, paragraphe 1, autre que celle pour laquelle les données à caractère personnel ont été collectées, est autorisé à condition que :

1. le responsable du traitement soit habilité à traiter des données à caractère personnel à une telle fin, conformément au droit de l’Union ou à la législation de la République de Bulgarie, et

2. le traitement soit nécessaire et proportionné pour atteindre cette autre fin, conformément au droit de l’Union ou à la législation de la République de Bulgarie.

[...] »

19. L’article 47 de la loi relative à la protection des données à caractère personnel reproduit l’article 6 de la directive 2016/680.

20. L’article 49 de la loi relative à la protection des données à caractère personnel dispose :

« Le traitement de données à caractère personnel est légal lorsqu’il est nécessaire à l’exercice de compétences par une autorité compétente aux fins visées à l’article 42, paragraphe 1, et qu’il est prévu par le droit de l’Union ou par une loi définissant les finalités du traitement et les catégories de données à caractère personnel qui font l’objet d’un traitement. »

II. Les faits, les procédures et les questions préjudicielles

21. Une procédure d’instruction (n^o 252/2013 de la police de Petrich) (6) a été menée, sous la direction de la Rayonna prokuratura – Petrich (parquet d’arrondissement de Petrich), en vue d’établir des faits constitutifs d’une infraction (7) qui se sont produits le 18 avril 2013.

22. Dans le cadre de cette procédure d’instruction, des données à caractère personnel de VS, en qualité de victime, ont été collectées.

23. Par ordonnances du parquet des 4 et 5 avril 2018, quatre personnes (dont VS) ont été accusées des faits en question.

24. Le 10 novembre 2020, le Rayonen sad Petrich (tribunal d’arrondissement de Petrich, Bulgarie) a clôturé la procédure pénale en raison de la prescription.

25. En 2016 et en 2017, à la suite de plaintes dirigées contre VS, le parquet d’arrondissement de Petrich a ouvert plusieurs dossiers (8) qui, en l’absence d’indices d’infractions, n’ont pas donné lieu à l’ouverture d’une procédure pénale.

26. En 2018, VS a introduit une action civile (9) contre le parquet de la République de Bulgarie devant l’Okrazhen sad Blagoevgrad (tribunal régional de Blagoevgrad, Bulgarie), en vue d’obtenir la réparation du préjudice causé par la durée excessive de la procédure pénale n^o 252/2013.

27. Aux fins de sa défense dans cette action civile, le parquet a demandé au juge que soient versés les dossiers n^o 517/2016 et n^o 1872/2016 du parquet d’arrondissement de Petrich.

28. Par ordonnance du 15 octobre 2018, l’Okrazhen sad Blagoevgrad (tribunal régional de Blagoevgrad) a ordonné au parquet d’arrondissement de Petrich de produire la copie des documents contenus dans les dossiers n^o 517/2016 et n^o 1872/2016.

29. Le 12 mars 2020, VS a formé devant l’IVSS un recours contre ce qu’il considère comme étant un double traitement illicite de ses données personnelles de la part du parquet, lequel aurait utilisé indûment :

— les données de VS collectées en sa qualité de victime, aux fins d’un traitement ultérieur en tant qu’accusé dans la procédure pénale n^o 252/2013, et

— les données de VS collectées dans les dossiers n^o 517/2016 et n^o 1872/2016, aux fins de leur utilisation par le parquet dans la procédure civile n^o 144/2018.

30. Le 22 juin 2020, l’IVSS a rejeté le recours de VS dans ses deux moyens.

31. VS a formé un recours contre la décision de l’IVSS devant l’Administrativen sad Blagoevgrad (tribunal administratif de Blagoevgrad, Bulgarie), lequel a saisi la Cour des questions préjudicielles suivantes :

« 1) L’article 1^er, paragraphe 1, de la [directive 2016/680] doit-il être interprété en ce sens que les fins qui y sont énumérées “de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales” doivent s’entendre comme des aspects d’une même finalité générale ?

2) Les dispositions du [RGPD] sont-elles applicables au parquet de la République de Bulgarie parce que, dans le cadre de sa défense devant une juridiction, en tant que partie à une procédure civile, celui-ci a utilisé les informations relatives à une personne, qu’il a collectées en tant que “responsable du traitement”, au sens de l’article 3, point 8, de la directive 2016/680, relatives à une personne et concernant un dossier qu’il a ouvert à l’encontre de cette personne, afin de vérifier des indices de la commission d’une infraction pénale, en indiquant qu’un tel dossier avait été ouvert ou en présentant les pièces de ce dossier ?

2.1. En cas de réponse affirmative à cette question :

Convient-il d’interpréter l’expression “intérêts légitimes” figurant à l’article 6, paragraphe 1, point f), du [RGPD], en ce sens qu’elle inclut la divulgation, en tout ou en partie, d’informations relatives à une personne qui ont été collectées dans un dossier du parquet la concernant, ouvert à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou de poursuite d’infractions pénales, si cette divulgation intervient aux fins de la défense du responsable du traitement en tant que partie à une procédure civile, et en ce sens qu’elle exclut le consentement de la personne concernée ? »

III. Procédure devant la Cour

32. La demande de décision préjudicielle a été déposée devant la Cour le 23 mars 2021.

33. Ont comparu et ont déposé des observations écrites VS, l’IVSS, les gouvernements bulgare, tchèque et néerlandais, ainsi que la Commission européenne.

34. La Cour n’a pas jugé nécessaire de tenir une audience, laquelle n’a été demandée par aucune des parties.

IV. Analyse

A. Considérations liminaires concernant le droit de l’Union applicable

35. Le RGPD et la directive 2016/680 constituent un système cohérent dans lequel :

— le RGPD fixe les règles générales pour la protection des personnes physiques au regard du traitement de leurs données à caractère personnel ;

— la directive 2016/680 établit des règles spécifiques pour le traitement desdites données dans le cadre de la coopération judiciaire en matière pénale et de la coopération policière.

36. La protection conférée par le régime constitué par ces deux réglementations est fondée sur les principes de licéité, de loyauté, de transparence et, pour ce qui nous intéresse ici, sur le principe de limitation stricte de la collecte des données et de leur traitement aux fins prévues par la loi (10).

37. Concrètement, l’article 5, paragraphe 1, sous b), du RGPD prévoit que les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités » (11). La directive 2016/680, en tant que lex specialis, emploie les mêmes termes en son article 4, paragraphe 1, sous b).

38. Ainsi, les données à caractère personnel ne sauraient être collectées ou traitées de manière générale, mais uniquement en fonction de finalités déterminées (12) et dans les conditions de licéité fixées par le législateur de l’Union.

39. Le principe du lien étroit existant entre la collecte et le traitement des données, d’une part, et les finalités auxquelles les deux opérations doivent servir, d’autre part, n’a pas un caractère absolu, le RGPD et la directive 2016/680 permettant une certaine flexibilité, comme je l’exposerai plus loin.

40. Dans le litige au principal, la juridiction administrative est appelée à apprécier le point de savoir si l’autorité de contrôle (l’IVSS) (13) a agi conformément au droit, en rejetant le recours par lequel VS reprochait au parquet bulgare un traitement illicite de ses données à caractère personnel.

41. Lesdites données avaient été collectées, comme je l’ai déjà exposé, dans deux contextes différents :

— dans le cadre de dossiers pénaux, ouverts par le parquet en 2013 et au regard desquels VS apparaissait en tant que victime présumée. Ces données ont été utilisées ultérieurement contre VS en sa qualité d’accusé dans la même procédure pénale ;

— dans le cadre d’autres dossiers pénaux, des années 2016 et 2017, ouverts par le même parquet à la suite de différentes plaintes dirigées, entre autres, contre VS, pour des faits distincts de ceux de l’année 2013 (14). Dans ce cas, le parquet a demandé (et la juridiction compétente a accédé à sa demande) à utiliser les données contenues dans ces dossiers pour se défendre dans la procédure civile introduite par VS, lequel lui réclamait des dommages et intérêts.

42. Les questions de la juridiction de renvoi ont trait, par extension :

— à la licéité de l’utilisation des données à caractère personnelles de VS dans deux étapes successives de la même procédure pénale (première question préjudicielle) ;

— à la licéité du traitement des données à caractère personnel de VS, collectées dans le cadre de dossiers pénaux ouverts par le parquet et que ce dernier entend utiliser dans un recours civil dirigé contre lui par le premier (deuxième question préjudicielle).

43. Je suis d’accord avec la juridiction de renvoi, et avec toutes les parties qui sont intervenues dans la présente procédure préjudicielle, en ce qu’elles affirment que le traitement des données à caractère personnel objet de la première question préjudicielle relève de la directive 2016/680.

44. En vertu de l’article 1^er, paragraphe 1, et de l’article 2, paragraphe 1, de la directive 2016/680, cette dernière s’applique au traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. Dans la présente affaire, les données de VS ont été collectées et traitées, précisément, dans le cadre d’une enquête pénale.

45. Toutefois, en ce qui concerne la transmission des données à caractère personnel aux fins de la procédure civile dirigée contre le parquet (deuxième question préjudicielle), le RGPD régit la question de savoir si cette transmission constitue un traitement des données à des fins étrangères à celles visées à l’article 1^er, paragraphe 1, de la directive 2016/680, mais relevant d’une activité qui entre dans le champ d’application du droit de l’Union.

B. Sur la première question préjudicielle : réaffectation ad intra des données à caractère personnel collectées à des fins relevant du champ d’application de la directive 2016/680

46. En vertu de l’article 4, paragraphe 2, de la directive 2016/680, le traitement, par le même ou par un autre responsable du traitement, pour l’une des finalités énoncées à l’article 1^er, paragraphe 1 (15), autre que celles pour lesquelles les données ont été collectées, est autorisé à condition que :

a) le responsable du traitement soit autorisé à traiter ces données à caractère personnel pour une telle finalité conformément au droit de l’Union ou au droit d’un État membre, et

b) le traitement soit nécessaire et proportionné à cette autre finalité conformément au droit de l’Union ou au droit d’un État membre.

47. La directive 2016/680 permet donc une réaffectation ad intra des données à caractère personnel collectées en vertu de ses dispositions. Celles qui ont été recueillies pour l’une des finalités énumérées en son article 1^er, paragraphe 1, peuvent être également utilisées, à certaines conditions, à l’une ou l’autre des fins comprises dans ladite énumération.

48. Le problème que soulève la première question préjudicielle est de savoir si les données à caractère personnel de VS, obtenues quand ce dernier apparaissait comme une victime de l’infraction faisant l’objet de l’enquête, peuvent être traitées par la suite contre lui en tant que personne mise en examen ou en tant qu’accusé, dans le cadre de la même procédure pénale.

49. En d’autres termes, il s’agit d’élucider le point de savoir si les données à caractère personnel de VS ont été traitées à la même fin que celle pour laquelle elles avaient été collectées initialement, ou bien pour deux fins différentes, mais comprises dans le champ d’application de la directive 2016/680. Dans ce deuxième cas, le traitement en question devrait être soumis aux conditions spécifiques de l’article 4, paragraphe 2, de ladite directive.

50. La juridiction de renvoi a formulé sa première question de manière quelque peu ambiguë par rapport à l’objet du litige. Elle souhaite savoir, littéralement, si l’article 1^er, paragraphe 1, de la directive 2016/680 doit être interprété « en ce sens que les fins qui et sont énumérées, “de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales” doivent s’entendre comme des aspects d’une même finalité générale ».

51. Eu égard à l’exposé de la juridiction de renvoi, sa première question mériterait peut-être d’être reformulée, comme l’ont proposé les parties et les intervenants dans la présente procédure préjudicielle. Plutôt que de se pencher sur la relation abstraite entre fin générale et fin spécifique, ce qui importe réellement (et ce sur quoi portait, en réalité, le recours de VS), c’est la question de savoir si, dans le cadre d’une procédure pénale relevant de la directive 2016/680, les fins pour lesquelles ont été collectées les données relatives à une personne en sa qualité de victime présumée d’une infraction demeurent les mêmes lorsque ces données conduisent à son inculpation ultérieure dans le cadre de la même procédure.

52. L’interprétation littérale de l’article 1^er, paragraphe 1, de la directive 2016/680 amène à distinguer, en son sein, trois types de fins correspondant à des moments et à des activités différents :

— en premier lieu, les fins de « prévention », y compris en vue de faire face aux menaces pour la sécurité publique ;

— en deuxième lieu, les fins d’« enquêtes » (au sens large) sur des faits relevant du droit pénal, ce qui comprend leur détection, leur investigation à proprement parler et la poursuite des infractions ;

— en troisième lieu, les fins d’« exécution de sanctions pénales ».

53. L’interprétation systématique ou contextuelle de l’article 4, paragraphe 2, de la directive 2016/680 amène à considérer comme étant distincte chacune de ces finalités. Si tel n’était pas le cas, comme l’a fait remarquer le gouvernement néerlandais, cette disposition serait vidée de son contenu, puisque, précisément, elle prévoit « des finalités énoncées à l’article 1^er, paragraphe 1, autres que celles pour lesquelles les données ont été collectées [...] ».

54. En partant de cette prémisse, je tenterai d’expliquer pourquoi, dans la présente affaire, les données litigieuses ont été obtenues et traitées pour l’un des types de fins (celles d’« enquête ») mentionnées à l’article 1^er, paragraphe 1, de la directive 2016/680, ce qui entraîne l’application de cette dernière et, par conséquent, la licéité du traitement.

55. À titre subsidiaire, si la collecte et le traitement avaient poursuivi deux finalités, parmi celles énumérées à l’article 4, paragraphe 2, de la directive 2016/680, leur licéité ne serait pas davantage contestable.

1. Une même finalité

56. Dans certains dossiers pénaux, il n’est pas toujours possible de déterminer dès le début la position procédurale des personnes visées. Ces dossiers tendent, dans bien des cas, à identifier et, partant, à « catégoriser » les personnes qui apparaissent, a priori, comme auteurs, victimes ou témoins des faits.

57. Durant cette phase préparatoire, il est logique qu’il existe un certain flou dans la catégorisation. L’enquête amènera, au fil des résultats qui s’en dégageront, à déterminer avec exactitude à quel titre chacune des personnes en cause interviendra, lorsqu’il sera statué sur les faits.

58. Il en va ainsi, en particulier, dans un cas comme en l’espèce. Selon la juridiction de renvoi, il y a eu des agressions croisées entre une pluralité de personnes. L’une d’entre elles, qui apparaissait initialement comme une victime, a fini par être accusée en tant qu’auteur desdites agressions.

59. Dans ces circonstances, l’ensemble des activités déployées relève de la notion d’« enquêtes », au sens de l’article 1^er, paragraphe 1, de la directive 2016/680. L’objectif de ces activités était, en effet, unique, et correspondait à l’une des « fins » auxquelles peut servir le traitement des données à caractère personnel.

60. La juridiction de renvoi doute, toutefois, du fait que cette interprétation de l’article 1^er, paragraphe 1, de la directive 2016/680 soit compatible avec le considérant 31 de cette dernière (16).

61. Je partage l’avis de la majorité des parties selon lequel ledit considérant, tout comme l’article 6 de la directive 2016/680, qui le reprend, ne sont pas pertinents pour déterminer s’il y a eu le changement de finalité visé à l’article 4, paragraphe 2, de ladite directive.

62. En vertu de l’article 6 de la directive 2016/680, la distinction claire entre les données à caractère personnel des différentes catégories de personnes concernées ne doit être faite que « le cas échéant et dans la mesure du possible ». Pour les raisons exposées précédemment, il n’est pas évident que, dans un dossier initial ouvert pour des faits comme ceux de l’espèce, les « différentes catégories de personnes concernées » puissent être identifiées dès le début. D’ailleurs, une même personne ayant participé aux faits en cause peut avoir en même temps la qualité de victime et d’auteur des agressions.

63. Même si le responsable du traitement des données obtenues dans les dossiers pénaux parvenait à distinguer clairement, au début et tout au long de l’instruction, les victimes, les suspects et les témoins, cela ne changerait pas la finalité (l’enquête) poursuivie par la collecte et le traitement des données en question.

64. En d’autres termes, le fait d’attribuer successivement aux personnes concernées par une enquête l’une ou l’autre qualité (victime, témoin, personne impliquée) ne suppose pas nécessairement un changement des finalités aux fins de l’article 4, paragraphe 2, de la directive 2016/680.

2. Deux finalités concurrentes

65. À titre subsidiaire, dans le cas où l’on se trouverait dans la circonstance prévue à l’article 4, paragraphe 2, de la directive 2016/680, le traitement des données à caractère personnel litigieuses serait conforme aux conditions de licéité établies par ladite directive. Cela a été souligné par les gouvernements bulgare et tchèque, avec lesquels je suis d’accord.

66. Bien qu’il appartienne à la juridiction de renvoi de s’en assurer, il ne semble faire aucun doute que le parquet bulgare soit, conformément au droit national, l’autorité responsable du traitement des données personnelles de VS « pour l’une des finalités énoncées à l’article 1^er, paragraphe 1, autre que celles pour lesquelles les données ont été collectées ». La première exigence de l’article 4, paragraphe 2, sous a), de la directive 2016/680 est ainsi satisfaite.

67. Quant à la deuxième exigence imposée à l’article 4, paragraphe 2, sous b), de la directive 2016/680 (à savoir que « le traitement soit nécessaire et proportionné à cette autre finalité »), j’estime que :

— sa nécessité est justifiée par l’incertitude et l’indétermination qui caractérisent des premières investigations pénales ;

— l’appréciation de sa proportionnalité incombe à la juridiction de renvoi, en se demandant si le traitement s’est limité à ce qui était strictement nécessaire pour atteindre l’objectif visé.

68. Appliquées à la présente affaire, les exigences de l’article 4, paragraphe 2, de la directive 2016/680 sont peu significatives et le caractère unitaire de la finalité inhérente à la collecte des données à caractère personnel litigieux est confirmé : il existe une continuité logique entre leur traitement initial et celui qui a par la suite donné lieu à l’inculpation de la personne impliquée.

69. Il ne serait donc pas nécessaire de confirmer la compétence d’un nouveau responsable du traitement des données (qui serait toujours le même), de même qu’il ne serait pas difficile d’établir le caractère nécessaire du deuxième traitement (réalisé dans le cadre de la même procédure), dès lors que le critère de proportionnalité est commun à tout traitement, comme il ressort des principes énoncés à l’article 4, paragraphe 1, de la directive 2016/680.

C. Sur la deuxième question préjudicielle : réaffectation ad extra des données à caractère personnel collectées

70. L’article 9, paragraphe 1, de la directive 2016/680 prévoit la possibilité d’une réaffectation ad extra des données à caractère personnel collectées en vertu de cette disposition.

71. En partant de la règle selon laquelle les données en question « ne peuvent être traitées à des fins autres que celles énoncées à [son] article 1^er, paragraphe 1 », l’article 9, paragraphe 1, de la directive 2016/680 précise que cela s’applique à moins que le droit de l’Union ou de l’État membre n’autorise leur traitement à des fins différentes de celles visée à l’article 1^er, paragraphe 1, de cette directive. En pareil cas, le RGPD est d’application (à condition que l’activité en question relève du champ d’application du droit de l’Union).

72. Par sa deuxième question préjudicielle, la juridiction de renvoi souhaite savoir :

— si le RGPD est applicable dans le cas où l’information collectée dans le cadre de dossiers pénaux ouverts par le parquet est utilisée ultérieurement comme moyen de défense par le même parquet dans le cadre d’une procédure civile introduite contre lui par la personne titulaire des données ;

— si, en cas de réponse affirmative à cette question, l’expression « intérêts légitimes » de l’article 6, paragraphe 1, sous f), du RGPD comprend le fait de produire les données litigieuses en vue d’assurer la défense du parquet dans le cadre de la procédure civile en question.

1. Recevabilité de la question

73. L’IVSS soutient que, étant donné que la plainte de VS a été rejetée en tant que tardive, la deuxième question préjudicielle serait irrecevable.

74. Je ne partage pas cette objection.

75. Le refus de la Cour de statuer sur une question préjudicielle posée par une juridiction nationale n’est possible que s’il apparaît de manière manifeste que l’interprétation sollicitée du droit de l’Union n’a aucun rapport avec la réalité ou l’objet du litige au principal, lorsque le problème est de nature hypothétique ou encore lorsque la Cour ne dispose pas des éléments de fait et de droit nécessaires pour répondre de façon utile aux questions qui lui sont posées (17).

76. L’objection de l’IVSS porte sur un point qui relève de la compétence exclusive de la juridiction de renvoi. Il incombe seulement à cette dernière de définir, sous sa responsabilité, le cadre réglementaire et factuel dans lequel s’inscrit la question posée à la Cour (18).

77. Tant l’évaluation du caractère tardif du recours, invoqué par l’IVSS, que celle de sa pertinence aux fins du litige, sont des éléments de jugement qui relèvent de la seule appréciation de la juridiction de renvoi. Dans la présente affaire, ladite juridiction a insisté sur le fait que la question soulevée était pertinente aux fins de la solution du litige au principal, indépendamment du caractère tardif du recours invoqué par l’IVSS (19).

78. Cette appréciation ne saurait être remise en cause par la Cour, qui doit s’en tenir, en principe, à l’interprétation et à l’application du droit national, procédural et substantiel, exposée par les organes juridictionnels lorsqu’ils définissent le cadre dans lequel se développe le renvoi préjudiciel.

2. Sur le fond

79. Eu égard aux raisons exposées par la juridiction de renvoi pour justifier la deuxième question préjudicielle, ce qui intéresse celle-ci, en réalité, c’est que la Cour détermine si la transmission des données litigieuses constitue un « traitement de données » au sens de l’article 4, points 1 et 2, du RGPD (20), et si ce traitement était licite au regard de son article 6.

a) Existence d’un traitement des données

80. L’article 4, points 1) et 2), du RGPD, à l’instar de l’article 3, points 1 et 2), de la directive 2016/680 définissent dans les mêmes termes les notions de « données » et de « traitement ».

81. Eu égard à ces définitions, je déduis que le parquet a voulu utiliser, pour sa défense devant le juge civil, une « information se rapportant à une personne physique identifiée » contenant des « données à caractère personnel » de VS.

82. La transmission de ces données à caractère personnel à la procédure civile s’est opérée moyennant différentes « opérations » constitutives d’un « traitement de données » sans le consentement de l’intéressé. Il a fallu, à tout le moins, que le parquet les consulte en vue d’apprécier leur possible utilité pour défendre sa position dans le cadre de la procédure civile. Il est à supposer, en outre, que, dans ce même but, les données en cause ont été organisées, structurées, adaptées ou modifiées, et, en tout cas, communiquées et diffusées, fût-ce de manière minime, lorsqu’il s’est agi de les verser au dossier de la procédure civile (21).

83. En définitive, le parquet, en enregistrant et en incorporant à ses archives, en conservant, en consultant et en demandant au juge civil d’admettre en tant que preuve les informations dont il disposait dans les dossiers pénaux, a procédé à un traitement des données à caractère personnel de VS.

84. L’IVSS et la Commission font valoir que le parquet ne peut être « responsable du traitement » qu’en tant qu’autorité compétente pour les finalités, de nature pénale, relevant du champ d’application de la directive 2016/680.

85. Cela n’implique pas, selon moi, que la deuxième question préjudicielle soit dépourvue d’objet, comme le prétend l’IVSS. Cela suppose, plutôt, que la licéité du traitement, en vertu de l’article 9, paragraphe 1, de la directive 2016/680, devra être appréciée à la lumière du RGPD.

86. Le juge compétent pour trancher le litige civil sera responsable du traitement des données dans la procédure en question lorsque celles-ci y seront versées. Ses décisions échappent à l’examen de l’autorité de contrôle, en vertu de l’article 55, paragraphe 3, du RGPD, dans la mesure où elles sont adoptées dans l’exercice de fonctions juridictionnelles (22).

87. Or, la juridiction de renvoi limite sa question à l’applicabilité du RGPD au moment où le parquet essaie d’utiliser les informations qu’il a collectées en tant que « responsable du traitement », au sens de la directive 2016/680, pour sa défense dans le cadre de la procédure civile.

88. Pour les motifs que je viens d’exposer, je pense que le RGPD est applicable, car la défense du parquet dans une procédure civile ne fait pas partie des finalités mentionnées à l’article 1^er, paragraphe 1, de la directive 2016/680.

b) Licéité du traitement à la lumière du RGPD

89. Les conditions de la licéité d’un traitement de données à caractère personnel sont énumérées à l’article 6, paragraphe 1, du RGPD : « [l]e traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie », conditions qui sont décrites par la suite. Leur énumération est exhaustive (23).

90. S’agissant de ces conditions, n’apparaissent ici, à mon avis, ni celle fondée sur le consentement de la personne concernée [point a)], ni celle fondée sur l’exécution d’un contrat [point b)], ni celle fondée sur le respect d’une obligation légale [point c)] (24), ni celle tenant à la protection des intérêts vitaux de la personne concernée ou d’un tiers [point d)].

91. D’après la juridiction de renvoi, on serait en présence de la condition énoncée à l’article 6, paragraphe 1, sous f), du RGPD. Toutefois, comme l’a affirmé la Commission, l’article 6, paragraphe 1, dernier alinéa, du RGPD l’écarte dans la présente affaire, étant donné que cette condition « ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions » (25).

92. En réponse à une demande de la Cour, le gouvernement bulgare, soutenu sur ce point par les gouvernements tchèque et néerlandais, a insisté sur l’applicabilité de la condition visée à l’article 6, paragraphe 1, sous f), du RGPD. Il a fait valoir la nécessité de tenir compte de la « nature de l’activité exercée par le parquet », lequel, bien qu’il soit une entité publique, peut participer aux procédures civiles en tant que « partie égale » (26).

93. Toutefois, les « intérêts légitimes » que défend le parquet en tant qu’autorité publique, dans une procédure dans laquelle il se voit opposer sa propre responsabilité pour ses agissements procéduraux, sont exclus de l’hypothèse visée à l’article 6, paragraphe 1, sous f), du RGPD, comme le prévoit expressément l’article 6, paragraphe 1, dernier alinéa, du RGPD.

94. Pour les autorités qui agissent dans l’exercice des missions qui leur sont confiées par la loi (en l’espèce, l’exercice de l’action pénale et la représentation de l’État face à des actions en responsabilité), l’intérêt pertinent, aux fins de l’article 6, paragraphe 1, du RGPD, est l’intérêt public qu’elles servent, conformément à l’article 6, paragraphe 1, sous e), du RGPD.

95. La condition prévue à l’article 6, paragraphe 1, sous f), a trait à la satisfaction d’intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.

96. Ainsi, cette clause porte moins sur les possibilités de défense de l’autorité publique – qui peuvent être déployées en application l’article 6, paragraphe 1, sous e), du RGPD – que sur l’éventuelle prééminence des intérêts, droits et libertés de la personne concernée face au responsable du traitement ou face à un tiers. Elle s’applique plutôt aux litiges entre des parties (privées) dont les intérêts n’ont pas une nature publique.

97. Du moment que le parquet agit, par définition, en qualité d’institution étatique, il convient d’analyser le point de savoir si le traitement litigieux est couvert par l’article 6, paragraphe 1, sous e), du RGPD.

98. Ce serait le cas si le traitement en cause était « nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique » dont est investi le responsable.

99. Je me pencherai sur la première de ces deux finalités, sans qu’il soit nécessaire d’aborder la deuxième (27), en vue d’apprécier si l’intervention du parquet dans la procédure civile dans laquelle il se voit réclamer une indemnisation pour son comportement relève de l’accomplissement d’une mission d’intérêt public.

100. Conformément au droit national (28), il incombe au parquet de représenter l’État dans les procédures en responsabilité délictuelle pour les préjudices qu’il aurait provoqués par son retard. Dans cette même mesure, le parquet intervient en la défense des intérêts généraux (financiers) de l’État et, partant, dans l’exercice d’une mission d’intérêt public (29).

101. L’article 9, paragraphe 1, de la directive 2016/680 autorise la réaffectation ad extra des données collectées dans les dossiers à condition que leur traitement soit autorisé par le droit de l’Union ou de l’État membre. Pour ce qui intéresse les présentes conclusions, il incombe à la juridiction de renvoi de vérifier l’existence d’une telle autorisation, eu égard à l’exercice de la mission d’intérêt public dont le parquet est investi pour la défense patrimoniale de l’État.

102. Conformément à l’article 6, paragraphe 3, du RGPD, la base juridique du traitement visé à l’article 6, paragraphe 1, sous e), du RGPD « peut contenir des dispositions spécifiques pour adapter l’application des règles » du RGPD (30). Si cette base juridique est établie par le droit de l’État membre applicable au responsable du traitement, c’est au juge national qu’il incombe de la trouver (31).

103. Enfin, même au cas où la juridiction de renvoi n’identifierait pas la base juridique pertinente, la compatibilité du traitement litigieux avec la finalité pour laquelle les données litigieuses ont été collectées devrait être déterminée conformément à l’article 6, paragraphe 4, du RGPD. À cet effet, il convient de tenir compte, entre autres, de tout lien entre les finalités initiales et la finalité obtenue, du contexte dans lequel les données à caractère personnel ont été collectées et de la nature de ces dernières, des conséquences éventuelles du nouveau traitement pour la personne concernée et de l’existence de garanties adéquates.

V. Conclusion

104. Eu égard à ce qui précède, je suggère à la Cour de répondre à l’Administrativen sad Blagoevgrad (tribunal administratif de Blagoevgrad, Bulgarie) de la façon suivante :

1) L’article 4, paragraphe 2, de la directive (UE) 2016/680 du Parlement européen et du Conseil, du 27 avril 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil, doit être interprété en ce sens que les données recueillies concernant une personne en sa qualité de victime présumée d’une infraction sont traitées pour les mêmes fins que celles ayant justifié leur collecte lorsque cette personne se trouve par la suite dans la position de personne mise en examen ou d’accusée dans le cadre de la même procédure pénale.

2) L’article 9, paragraphe 1, de la directive 2016/680 doit être interprété en ce sens que le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, s’applique à l’utilisation par le parquet, aux fins de sa défense dans une procédure civile, des informations obtenues dans le cadre de dossiers pénaux.

3) Constitue un « traitement de données à caractère personnel » au sens de l’article 4, point 1, du règlement 2016/679 la communication des données à caractère personnel collectées dans le cadre de dossiers pénaux, précédée de leur enregistrement, de leur conservation et de leur consultation, en vue d’assurer la défense du parquet dans le cadre d’une procédure civile visant à obtenir réparation d’un dommage du fait de ses agissements dans l’exercice de ses fonctions.

4) Un tel traitement peut, en principe, être considéré comme étant licite en vertu de l’article 6, paragraphe 1, sous e), du règlement 2016/679.

1 Langue originale : l’espagnol.

2 Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci-après le « RGPD »).

3 Directive du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision‑cadre 2008/977/JAI du Conseil (JO 2016, L 119, p. 89).

4 DV n^o 56, du 13 juillet 1991.

5 DV n^o 1, du 4 janvier 2002, dans la version en vigueur au moment des faits litigieux.

6 Dossier n^o 1548/2013 du parquet d’arrondissement de Petrich (Bulgarie).

7 Selon l’ordonnance de renvoi (point 8.1) l’infraction en cause était celle visée à l’article 325, paragraphe 1, lu conjointement avec l’article 20, paragraphe 2, du Nakazatelen kodeks (code pénal).

8 Dossiers n^o 517/2016, n^o 1870/2016, n^o 1872/2016 et n^o 2217/2016.

9 Procédure civile n^o 144/2018.

10 Voir considérant 39 du RGPD et considérant 26 de la directive 2016/680.

11 Mise en italique par mes soins.

12 L’article 1^er, paragraphe 1, de la directive 2016/680 les énumère (voir note en bas de page 15 des présentes conclusions). En dehors du cadre propre à la directive 2016/680, les finalités admises par le RGPD sont toutes celles potentiellement licites. Il existe donc un principe de liberté, dont les limites sont constituées par la licéité des conditions du traitement des données et les droits de la personne concernée (chapitres II et III du RGPD).

13 Conformément à l’article 45, paragraphe 2, de la directive 2016/680, les États membres « prévoi[ent] que chaque autorité de contrôle n’est pas compétente pour contrôler les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle ».

14 Bien que les informations fournies par la juridiction de renvoi ne le précisent pas expressément, tout semble indiquer qu’il s’agit, en effet, de faits distincts.

15 Sont considérées comme telles, aux termes de l’article 1^er, paragraphe 1, de la directive 2016/680 celles « de prévention et de détection des infractions pénales, d’enquêtes et de poursuites [enjuiciamiento dans la version en langue espagnole] en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ». La version en langue espagnole de cette disposition est différente de celles dans d’autres langues officielles s’agissant de l’utilisation du terme enjuiciamiento (procédure juridictionnelle). En effet, la version en langue française emploie le substantif « poursuites », qui équivaut à la prosecution de la version en langue anglaise, au perseguimento de la version en langue italienne, à la Verfolgung de la version en langue allemande, ou au vervolving de celle en langue néerlandaise. Ces versions, comme d’autres encore (à l’exception de celle en langue espagnole) font référence à une activité qui précède l’enjuiciamiento (procédure juridictionnelle) à proprement parler, lequel est exclusivement réservé aux organes juridictionnels.

16 « Le traitement des données à caractère personnel dans les domaines de la coopération judiciaire en matière pénale et de la coopération policière implique nécessairement le traitement de données à caractère personnel concernant différentes catégories de personnes concernées. Il importe dès lors d’établir une distinction claire, le cas échéant et dans la mesure du possible, entre les données à caractère personnel de différentes catégories de personnes concernées [...] » (mise en italique par mes soins).

17 Arrêt du 27 septembre 2017, Puškár (C‑73/16, EU:C:2017:725, point 50).

18 Arrêt du 17 juillet 2014, YS e.a. (C 141/12 et C 372/12, EU:C:2014:2081, point 63).

19 Point 34.12, paragraphe 3, de l’ordonnance de renvoi.

20 C’est ce qu’elle affirme au point 34.12, paragraphe 1, de l’ordonnance de renvoi.

21 La demande d’admission en tant que preuve des données contenues dans les dossiers du parquet comporte une transmission d’informations relatives à la personne de VS, étant donné que ladite demande a dû être justifiée par la pertinence des données en question, laquelle a pu être appréciée à la vue, fût-ce à titre indicatif, de leur contenu.

22 Voir, en ce qui concerne l’interprétation de cette disposition, arrêt du 24 mars 2022, Autoriteit Persoonsgegevens (C‑245/20, EU:C:2022:216, points 23 et suiv.).

23 Voir, en ce qui concerne le texte analogue de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), arrêt du 24 novembre 2011, ASNEF (C‑468/10 et C‑469/10, EU:C:2011:777).

24 Le parquet n’est pas légalement tenu de demander que les données litigieuses soient versées au dossier de la procédure civile.

25 Eu égard au considérant 47 du RGPD, « [é]tant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions ».

26 Points 45 et 49 de la réponse écrite du gouvernement bulgare à une question de la Cour.

27 Comme l’indique le gouvernement néerlandais, la défense des intérêts de l’État dans une procédure civile ne constitue pas, en soi et de manière autonome, un exercice de l’autorité publique, au sens de l’article 6, paragraphe 1, sous e), deuxième partie, du RGPD.

28 Zakon za otgovornostta na darzhavata i obshtinite za vredi (loi sur la responsabilité de l’État et des communes pour les dommages causés ; DV n^o 60, du 5 août 1988). En réponse à une question de la Cour, le gouvernement bulgare a précisé que le fondement juridique sur la base duquel le parquet a été attrait devant la juridiction civile est l’article 2b de ladite loi, qui régit les conditions et les modalités de formation de la responsabilité délictuelle de l’État en cas de violation du droit d’être jugé dans un délai raisonnable.

29 En vertu de la législation bulgare, les actions en responsabilité doivent être dirigées contre les autorités auxquelles la cause du préjudice est imputée. Lesdites autorités ont la qualité de partie défenderesse dans la procédure civile correspondante. Au‑delà de cette configuration procédurale, il est certain que la demande d’indemnisation est dirigée, finalement, contre l’État dans son ensemble, défendu, selon les cas, par celui parmi ses organes qui est à l’origine directe du (supposé) préjudice invoqué.

30 Ces dispositions peuvent porter sur « les conditions générales régissant la licéité du traitement par le responsable du traitement ; les types de données qui font l’objet du traitement ; les personnes concernées ; les entités auxquelles les données à caractère personnel peuvent être communiquées et les finalités pour lesquelles elles peuvent l’être ; la limitation des finalités ; les durées de conservation ; et les opérations et procédures de traitement, y compris les mesures visant à garantir un traitement licite et loyal, telles que celles prévues dans d’autres situations particulières de traitement comme le prévoit le chapitre IX [du RGPD] ».

31 En réponse à une question de la Cour, le gouvernement bulgare a fait valoir que la base juridique en question doit être recherchée dans le contexte du double rôle du parquet : celui de défenseur de l’État dans la procédure civile, d’une part, et d’émetteur d’un document officiel ayant une importance juridique pour l’affaire, d’autre part. Il y aurait donc une double base juridique : celle de l’article 6, paragraphe 1, sous c), du RGPD, pour ce qui est du rôle d’« émetteur d’un document officiel », au sens de l’article 179 du Grazhdanski protsesualen kodeks (code de procédure civile), en combinaison avec son article 186, et celle de l’article 6, paragraphe 1, sous e), du RGPD, pour ce qui est du rôle en tant que partie à la procédure, dans l’exercice de ses obligations légales (points 31 et 32 de la réponse écrite du gouvernement bulgare).