Demande de décision préjudicielle présentée par le tribunal d’arrondissement (Luxembourg) le 13 novembre 2020 – Sovim SA / Luxembourg Business Registers

(Affaire C-601/20)

Langue de procédure : le français

Juridiction de renvoi

Tribunal d’arrondissement

Parties dans la procédure au principal

Partie requérante : Sovim SA

Partie défenderesse : Luxembourg Business Registers

Questions préjudicielles

Question n° 1

L’article 1er, paragraphe 15, sous c), de la directive (UE) 2018/8431 , modifiant l’article 30, paragraphe 5, premier alinéa de la directive (UE) 2015/849 relative à la prévention de l'utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme […]2 , en ce sens qu’il impose aux États membres de rendre les informations sur les bénéficiaires effectifs accessibles dans tous les cas à tout membre du grand public sans justification d’un intérêt légitime, est-il valide

a.     à la lumière du droit au respect de la vie privée et familiale garanti par l’article 7 de la Charte des droits fondamentaux de l’Union européenne (la « Charte »), interprété conformément à l’article 8 de la Convention européenne des droits de l’homme, compte tenu des objectifs énoncés notamment aux considérants 30 et 31 de la directive 2018/843 visant, en particulier, la lutte contre le blanchiment de capitaux et le financement du terrorisme ; et

b.     à la lumière du droit à la protection des données à caractère personnel garantie par l’article 8 de la Charte en ce qu’il vise notamment à garantir le traitement des données personnelles de manière licite, loyale et transparente à l’égard de la personne concernée, la limitation des finalités de la collecte et du traitement et la minimisation des données ?

Question n° 2

1. Est-ce que l’article 1er, paragraphe 15, sous g), de la directive 2018/843 doit être interprété en ce sens que les circonstances exceptionnelles, auxquelles il fait référence, dans lesquelles les États membres peuvent prévoir des dérogations concernant l’accès à tout ou en partie des informations sur les bénéficiaires effectifs, lorsque l’accès du grand public exposerait le bénéficiaire effectif à un risque disproportionné, à un risque de fraude d’enlèvement, de chantage, d’extorsion, de harcèlement de violence ou d’intimidation, ne peuvent être trouvées que si la preuve est apportée d’un risque disproportionné de fraude, d’enlèvement, de chantage, d’extorsion de fonds, de harcèlement, de violence ou d’intimidation qui est exceptionnel, pesant effectivement sur la personne particulière du bénéficiaire effectif, caractérisé, réel et actuel ?

2. Dans l’affirmative, l’article 1er, paragraphe 15, sous g), de la directive 2018/843 ainsi interprété est-il valide à la lumière du droit au respect de la vie privée et familiale garanti par l’article 7 de la Charte et du droit à la protection des données à caractère personnel garanti à l’article 8 de la Charte ?

Question n° 3

1. L’article 5, paragraphe 1, sous a), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE3 (ci-après « RGPD ») imposant le traitement des données de manière licite, loyale et transparente au regard de la personne concernée doit-il être interprété en ce sens qu’il ne s’oppose pas

a.     à ce que les données à caractère personnel d’un bénéficiaire effectif inscrites dans un registre de bénéficiaires effectifs, créé conformément à l’article 30 de la directive 2015/849, tel que modifié par l’article 1er, paragraphe 15, de la directive 2018/843, soient accessibles au grand public sans contrôle ni justification par toute personne du public et sans que la personne concernée (bénéficiaire effectif) puisse savoir qui a eu accès à ces données à caractère personnel la concernant ; ni

b.     à ce que le responsable du traitement d’un tel registre de bénéficiaires effectifs donne accès aux données à caractère personnel des bénéficiaires effectifs à un nombre illimité et non déterminable de personnes ?

2. L’article 5, paragraphe 1, sous b), du RGPD imposant la limitation des finalités doit-il être interprété en ce sens qu’il ne s’oppose pas à ce que les données à caractère personnel d’un bénéficiaire effectif inscrites dans un registre de bénéficiaires effectifs, créé conformément à l’article 30 de la directive 2015/849, tel que modifié par l’article 1er, paragraphe 15, de la directive 2018/843, soient accessibles au grand public sans que le responsable du traitement de ces données puisse garantir que lesdites données soient utilisées exclusivement pour la finalité pour laquelle elles ont été collectées, à savoir, en substance, la lutte contre le blanchiment de capitaux et le financement du terrorisme, finalité que le grand public n’est pas l’organe responsable à faire respecter ?

3. L’article 5, paragraphe 1, sous c), du RGPD imposant la minimisation des données doit-il être interprété en ce sens qu’il ne s’oppose pas à ce que, par le biais d’un registre de bénéficiaires effectifs créé conformément à l’article 30 de la directive 2015/849, tel que modifié par l’article 1er, paragraphe 15, de la directive 2018/843, le grand public ait accès outre au nom, mois et année de naissance, nationalité, et pays de résidence d’un bénéficiaire effectif ainsi qu’à la nature et à l’étendue des intérêts effectifs détenus par lui, également à sa date de naissance et à son lieu de naissance ?

4. L’article 5, paragraphe 1, sous f), du RGPD imposant que le traitement de données doit se faire de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite, garantissant ainsi l’intégrité et la confidentialité de ces données ne s’oppose-t-il pas à l’accès sans limites et sans conditions, sans engagement de confidentialité aux données à caractère personnel de bénéficiaires effectifs disponibles au registre de bénéficiaires effectifs crée conformément à l’article 30 de la directive 2015/849, tel que modifié par l’article 1er, paragraphe 15, de la directive 2018/843 ?

5. L’article 25, paragraphe 2, du RGPD, qui garantit la protection des données par défaut en vertu duquel, notamment, par défaut les données à caractère personnel ne doivent pas être rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée, doit-il être interprété en ce sens qu’il ne s’oppose pas

a.     à ce qu’un registre de bénéficiaires effectifs créé conformément à l’article 30 de la directive 2015/849, tel que modifié par l’article 1er, paragraphe 15, de la directive 2018/843, ne requiert pas l’inscription sur le site dudit registre des personnes du grand public consultant les données à caractère personnel d’un bénéficiaire effectif ; ni

b.     à ce qu’aucune information sur une consultation de données à caractère personnel d’un bénéficiaire effectif inscrites dans un tel registre ne soit communiquée audit bénéficiaire effectif ; ni

c.     à ce qu’aucune restriction quant à l’étendue et l’accessibilité des données à caractère personnel en cause ne soit applicable au regard de la finalité de leur traitement ?

6. Les articles 44 à 50 du RGPD qui soumettent à des conditions strictes le transfert de données à caractère personnel vers un pays tiers doivent-ils être interprétés en ce sens qu’il ne s’opposent pas à ce que de telles données d’un bénéficiaire effectif inscrites dans un registre de bénéficiaires effectifs créé conformément à l’article 30 de la directive 2015/849, tel que modifié par l’article 1er, paragraphe 15, de la directive 2018/843, soient accessibles dans tous les cas à tout membre du grand public sans justification d’in intérêt légitime et sans limitations quant à la localisation de ce public ?

____________

1     Directive (UE) 2018/843 du Parlement européen et du Conseil du 30 mai 2018 modifiant la directive (UE) 2015/849 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme ainsi que les directives 2009/138/CE et 2013/36/UE (JO 2018, L 156, p. 43).

2     Directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme, modifiant le règlement (UE) n° 648/2012 du Parlement européen et du Conseil et la directive 2006/70/CE de la Commission (JO 2015, L 141, p. 73).

3     Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1).