CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. PRIIT PIKAMÄE
présentées le 16 mars 2023 (1)
Affaires jointes C‑26/22 et C‑64/22
UF (C‑26/22)
AB (C‑64/22)
contre
Land Hessen,
en présence de
SCHUFA Holding AG
[demande de décision préjudicielle formée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne)]
« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 6, paragraphe 1, premier alinéa, sous f) – Licéité du traitement – Article 17, paragraphe 1, sous d) – Droit à l’effacement en cas de traitement illicite de données à caractère personnel – Article 40 – Codes de conduite – Article 77, paragraphe 1 – Droit d’introduire une réclamation – Article 78, paragraphe 1 – Droit à un recours juridictionnel effectif contre une autorité de contrôle – Articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne – Décision prise par l’autorité de contrôle sur une réclamation – Étendue du contrôle juridictionnel sur cette décision – Sociétés privées fournissant des informations commerciales – Conservation de données provenant d’un registre public – Intérêt légitime – Durée de la conservation »
I. Introduction
1. Les présentes demandes de décision préjudicielle adressée par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) au titre de l’article 267 TFUE ont pour objet l’interprétation des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte ») ainsi que de l’article 6, paragraphe 1, premier alinéa, sous f), de l’article 17, paragraphe 1, sous d), de l’article 40, de l’article 77, paragraphe 1, et de l’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (2)(ci-après le « RGPD »).
2. Ces demandes s’inscrivent dans le cadre de deux litiges opposant, le premier, UF (affaire C‑26/22) et, le second, AB (affaire C‑64/22) au Land Hessen (Land de Hesse, Allemagne), représenté par le Hessischer Beauftragte für Datenschutz und Informationsfreiheit (commissaire à la protection des données et à la liberté de l’information pour le Land de Hesse, ci-après le « HBDI »), au sujet des demandes, introduites respectivement par UF et AB auprès du HBDI, d’agir aux fins de la suppression d’une inscription relative à la libération d’un reliquat de dette auprès de SCHUFA Holding AG (ci-après « SCHUFA »).
3. Les deux affaires soulèvent une diversité de questions juridiques inédites portant, entre autres, sur la nature juridique de la décision prise par l’autorité de contrôle saisie d’une réclamation ainsi que sur l’étendue du contrôle juridictionnel que le juge peut exercer dans le cadre d’un recours formé contre une telle décision. Ces affaires portent aussi sur la question liée à la licéité de la conservation, auprès de sociétés fournissant des informations commerciales, de données à caractère personnel provenant de registres publics.
II. Le cadre juridique
A. Le droit de l’Union
1. Le règlement (UE) 2015/848
4. Aux termes de l’article 79, paragraphes 4 et 5, du règlement (UE) 2015/848 du Parlement européen et du Conseil, du 20 mai 2015, relatif aux procédures d’insolvabilité (3) :
« 4. Les États membres sont responsables, conformément à la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31)], de la collecte et du stockage des données dans les bases de données nationales ainsi que des décisions prises afin d’assurer la mise à disposition de ces données dans le registre interconnecté, qui peut être consulté sur le portail européen e‑Justice.
5. Dans le cadre des informations à fournir aux personnes concernées afin de leur permettre d’exercer leurs droits, et en particulier le droit à l’effacement des données, les États membres informent les personnes concernées de la période durant laquelle les données à caractère personnel stockées dans les registres d’insolvabilité sont accessibles. »
2. Le RGPD
5. L’article 5 du RGPD dispose, à son paragraphe 1 :
« Les données à caractère personnel doivent être :
[...]
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; [...] (limitation des finalités) ;
[...] »
6. L’article 6 de ce règlement prévoit, à son paragraphe 1 :
« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
[...]
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel [...]
[...] »
7. L’article 17 du RGPD prévoit, à son paragraphe 1 :
« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :
[...]
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
[...] »
8. L’article 21 de ce règlement dispose, à son paragraphe 1 :
« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. »
9. L’article 40 dudit règlement énonce :
« 1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que :
a) le traitement loyal et transparent ;
b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;
c) la collecte des données à caractère personnel ;
[...]
5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modification ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes.
[...] »
10. L’article 77 du RGPD prévoit, à son paragraphe 1 :
« Sans préjudice de tout autre recours administratif ou juridictionnel, toute personne concernée a le droit d’introduire une réclamation auprès d’une autorité de contrôle, en particulier dans l’État membre dans lequel se trouve sa résidence habituelle, son lieu de travail ou le lieu où la violation aurait été commise, si elle considère que le traitement de données à caractère personnel la concernant constitue une violation du présent règlement. »
11. L’article 78 de ce règlement dispose :
« 1. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne physique ou morale a le droit de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne.
2. Sans préjudice de tout autre recours administratif ou extrajudiciaire, toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77.
[...] »
B. Le droit allemand
12. L’article 9 de l’Insolvenzordnung (code de l’insolvabilité), dans sa version en vigueur à l’époque des faits dans les litiges au principal, dispose, à son paragraphe 1 :
« La publication officielle est effectuée au moyen d’une publication centrale faite dans l’ensemble des Länder sur Internet ; elle peut être faite par extraits. Le débiteur doit être identifié avec précision ; son adresse et son secteur d’activité doivent en particulier être indiqués. La publication est réputée faite dès que deux jours supplémentaires se sont écoulés après le jour de la publication. »
13. L’article 3 de la Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (règlement relatif aux publications officielles diffusées par Internet dans le cadre des procédures d’insolvabilité, ci-après l’« InsBekV ») énonce, à ses paragraphes 1 et 2 :
« 1) La publication, dans un système électronique d’information et de communication, de données relatives à une procédure d’insolvabilité, y compris la procédure d’ouverture, est supprimée au plus tard six mois après que la procédure d’insolvabilité a été annulée ou que la suspension de celle-ci est devenue définitive. Si la procédure n’est pas ouverte, ce délai commence à courir à compter de l’annulation des mesures conservatoires publiées.
2) Le paragraphe 1, première phrase, s’applique aux publications faites dans le cadre d’une procédure de libération de reliquat de dette, y compris l’ordonnance visée à l’article 289 du code de l’insolvabilité, étant entendu que le délai en cause commence à courir lorsque la décision relative à la libération de reliquat de dette est devenue définitive. »
III. Les faits à l’origine des litiges, les procédures au principal et les questions préjudicielles
14. Dans le cadre des procédures d’insolvabilité les concernant, UF et AB se sont vu accorder une libération anticipée de reliquat de dette, par des ordonnances judiciaires rendues respectivement le 17 décembre 2020 et le 23 mars 2021. Conformément à l’article 9, paragraphe 1, du code de l’insolvabilité ainsi qu’à l’article 3, paragraphes 1 et 2, de l’InsBekV, cette circonstance a fait l’objet d’une publication officielle sur Internet, laquelle a été supprimée au bout de six mois.
15. SCHUFA, une société privée fournissant des informations commerciales, enregistre dans ses propres bases de données les informations publiées relatives à des libérations anticipées de reliquat de dette, mais ne les supprime que trois ans après l’enregistrement.
16. Interpellée par respectivement UF et AB sollicitant l’effacement des inscriptions les concernant, SCHUFA leur a indiqué que son activité respectait le RGPD et que le délai d’effacement de six mois prévu à l’article 3, paragraphe 1, de l’InsBekV ne lui était pas applicable. UF et AB ont alors chacun introduit une réclamation auprès du HBDI en tant qu’autorité de contrôle compétente.
17. Le HBDI a statué sur ces réclamations par deux avis rendus respectivement le 1er mars 2021 et le 9 juillet 2021. Selon lui, SCHUFA est en droit de conserver des écritures négatives relatives à une libération de reliquat de dette au-delà de la période de la libération de la créance.
18. UF et AB ont chacun formé un recours contre l’avis du HBDI devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden), la juridiction de renvoi. À ce titre, ils font valoir que le HBDI est tenu, dans le cadre de ses missions et de ses pouvoirs, d’adopter des mesures à l’encontre de SCHUFA afin d’imposer l’effacement des inscriptions les concernant.
19. À cet égard, la juridiction de renvoi estime nécessaire, en premier lieu, de clarifier la nature juridique de la décision que l’autorité de contrôle rend sur une réclamation introduite au titre de l’article 77, paragraphe 1, du RGPD. Cette juridiction expose que, de l’avis du HBDI, le droit prévu à cet article 77, paragraphe 1, est conçu comme un droit de pétition. Ainsi, il ne serait soumis qu’à un contrôle juridictionnel restreint qui se limiterait à vérifier que l’autorité de contrôle a traité la réclamation, a informé son auteur de l’état d’avancement et de l’issue de cette réclamation. En revanche, le juge ne devrait pas contrôler l’exactitude sur le fond de la décision rendue sur réclamation.
20. Ladite juridiction doute cependant de la conformité de cette analyse avec le RGPD. Selon elle, en effet, l’article 78, paragraphe 1, de ce règlement requerrait un recours juridictionnel effectif. Au vu de l’objectif dudit règlement, consistant, dans le cadre de la mise en œuvre des articles 7 et 8 de la Charte, à assurer une protection efficace des libertés et des droits fondamentaux des personnes physiques, le traitement du droit à la réclamation ne saurait recevoir une interprétation restrictive. La juridiction de renvoi est donc encline à retenir une interprétation selon laquelle la décision prise sur le fond par l’autorité de contrôle est soumise au plein contrôle du juge, sachant cependant que cette autorité dispose tant d’un pouvoir d’appréciation que d’un pouvoir discrétionnaire et qu’elle ne peut être tenue d’agir que lorsque des options licites ne peuvent être identifiées.
21. En second lieu, la juridiction de renvoi s’interroge sur la licéité de la conservation, auprès de sociétés fournissant des informations commerciales, de données provenant de registres publics. À cet égard, cette juridiction précise que ces sociétés obtiennent auprès de l’État toutes les inscriptions provenant des registres publics, en l’occurrence le registre des débiteurs et le registre d’insolvabilité. Ces données serviraient, selon le HBDI, à apprécier la solvabilité et pourraient être conservées aussi longtemps que cela est nécessaire aux fins pour lesquelles elles ont été conservées. En outre, en l’absence de réglementation prévue par le législateur national, des codes de conduite auraient été adoptés par les autorités de contrôle en concertation avec l’association regroupant les sociétés fournissant des informations commerciales, ces codes de conduite prévoyant une suppression trois ans exactement après l’inscription dans le fichier.
22. Selon la juridiction de renvoi, au regard des articles 7 et 8 de la Charte, la question se pose de savoir si les inscriptions dans les registres publics peuvent être transférées à l’identique vers des registres privés, sans que la conservation de données ait lieu à une occasion spécifique. Il s’agirait, en fin de compte, d’une mise en réserve de données, surtout si celles-ci ont déjà été supprimées du registre national en raison de l’expiration du délai de conservation. Par ailleurs, SCHUFA ne serait qu’une société fournissant des informations commerciales parmi d’autres, de sorte que les données seraient conservées en Allemagne de manière multiple, ce qui impliquerait une atteinte massive au droit fondamental consacré à l’article 7 de la Charte.
23. La juridiction de renvoi ajoute qu’un traitement et donc une conservation de données ne sont autorisés que si l’une des conditions prévues à l’article 6, paragraphe 1, du RGPD est remplie, étant précisé que, en l’occurrence, seul l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement entre en ligne de compte. Or il serait douteux qu’un responsable du traitement tel que SCHUFA ait un intérêt légitime au sens de cette disposition. En tout état de cause, il serait toujours loisible à une société fournissant des informations commerciales de consulter, en cas d’intérêt légitime, les registres publics tant que les données y sont conservées.
24. En outre, à l’article 3 de l’InsBekV, le législateur allemand ne prévoirait qu’une durée de conservation relativement courte, de six mois, de l’inscription, dans le registre d’insolvabilité, relative à la libération de reliquat de dette. Cette réglementation trouverait quant à elle son fondement dans l’article 79, paragraphe 5, du règlement 2015/848, en vertu duquel les États membres informent les personnes concernées de la période durant laquelle les données à caractère personnel stockées dans les registres d’insolvabilité sont accessibles, afin de leur permettre d’exercer leurs droits, et en particulier le droit à l’effacement des données. Ce droit n’existerait cependant plus en cas de conservation dans un grand nombre de registres privés dans lesquels les données seraient alors conservées plus longtemps.
25. Au demeurant, même à admettre que la conservation, auprès de sociétés privées fournissant des informations commerciales, de données provenant de registres publics est licite, on pourrait se demander si les codes de conduite approuvés conformément à l’article 40 du RGPD, qui prévoient un délai d’effacement de trois ans pour l’inscription relative à la libération de reliquat de dette, doivent être pris en compte dans la mise en balance qu’appelle l’appréciation au titre de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD.
26. Dans ces conditions, le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :
« 1) L’article 77, paragraphe 1, lu en combinaison avec l’article 78, paragraphe 1, du [RGPD] doit-il être compris en ce sens que la conclusion de l’autorité de contrôle qui est communiquée par cette autorité à la personne concernée :
a) revêt le caractère d’une prise de décision sur une pétition, avec la conséquence que le contrôle juridictionnel exercé sur la décision sur réclamation adoptée par une autorité de contrôle au titre de l’article 78, paragraphe 1, de ce règlement est en principe limité à la question de savoir si cette autorité a traité la réclamation, enquêté de manière appropriée sur l’objet de celle-ci et informé le réclamant de la conclusion de l’examen,
ou
b) doit être comprise comme une décision sur le fond adoptée par une autorité, avec pour conséquence que, dans le cadre du contrôle juridictionnel exercé sur une décision sur réclamation adoptée par une autorité de contrôle au titre de l’article 78, paragraphe 1, dudit règlement, la décision sur le fond doit faire l’objet d’un contrôle entier par le juge, sachant que, dans des cas particuliers, par exemple en cas de réduction à zéro du pouvoir discrétionnaire, le juge peut également imposer à l’autorité de contrôle de prendre une mesure concrète au sens de l’article 58 du même règlement ?
2) La conservation de données auprès d’une société privée fournissant des informations commerciales, conservation dans le cadre de laquelle des données à caractère personnel provenant d’un registre public tel que les “bases de données nationales” au sens de l’article 79, paragraphes 4 et 5, du [règlement 2015/848] sont conservées non pas à l’occasion d’un cas concret, mais afin de pouvoir fournir des renseignements en cas de demande, est-elle compatible avec les articles 7 et 8 de la [Charte] ?
3) a) Les bases de données parallèles privées (en particulier les bases de données tenues par une société fournissant des informations commerciales) qui sont créées à côté des bases de données étatiques et dans lesquelles les données provenant de ces dernières (en l’espèce, des publications en matière d’insolvabilité) sont conservées plus longtemps que ce qui est prévu dans le cadre strict du règlement 2015/848, lu en combinaison avec le droit national, sont-elles en principe licites ?
b) Si la troisième question, sous a), appelle une réponse affirmative, résulte-t-il du droit à l’oubli prévu à l’article 17, paragraphe 1, sous d), du [RGPD] que ces données doivent être supprimées lorsque la durée de traitement prévue pour le registre public a expiré ?
4) Dans la mesure où l’article 6, paragraphe 1, premier alinéa, sous f), du [RGPD] peut être considéré comme la seule base juridique de la conservation de données par les sociétés privées fournissant des informations commerciales, et ce également en ce qui concerne les données conservées dans les registres publics, convient-il de retenir qu’une telle société possède déjà un intérêt légitime lorsqu’elle reprend les données provenant du registre public non pas à une occasion concrète, mais afin que ces données soient ensuite disponibles en cas de demande de renseignements ?
5) Les codes de conduite qui ont été approuvés par les autorités de contrôle conformément à l’article 40 du [RGPD] et qui prévoient des délais de contrôle et d’effacement qui vont au-delà des délais de conservation prévus pour les registres publics peuvent-ils suspendre la mise en balance prévue à l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement ? »
IV. La procédure devant la Cour
27. La décision de renvoi dans l’affaire C‑26/22, datée du 23 décembre 2021, est parvenue au greffe de la Cour le 11 janvier 2022. La décision de renvoi dans l’affaire C‑64/22, datée du 31 janvier 2022, est parvenue au greffe de la Cour le 2 février 2022.
28. Par décision de la Cour du 11 février 2022, ces affaires ont été jointes aux fins de la procédure écrite et orale ainsi que de l’arrêt.
29. Les parties au principal, SCHUFA, les gouvernements allemand et portugais ainsi que la Commission européenne ont déposé des observations écrites dans le délai imparti par l’article 23 du statut de la Cour de justice de l’Union européenne.
30. Lors de l’audience du 26 janvier 2023, les mandataires ad litem des parties au principal, de SCHUFA et les agents de la Commission ont présenté des observations orales.
V. Analyse juridique
A. Remarques préliminaires
31. La confiance mutuelle constituant la base de tout engagement contractuel dans une économie de marché, il est, en principe, compréhensible d’un point de vue entrepreneurial que les fournisseurs de services et de biens souhaitent connaître leurs clients ainsi que les risques inhérents à un tel engagement contractuel. Les sociétés fournissant des informations commerciales peuvent contribuer à établir cette confiance mutuelle au travers de méthodes statistiques permettant aux entreprises d’établir si certains critères pertinents, y compris la solvabilité de leurs clients, sont remplis en l’espèce. Ce faisant, elles aident les entreprises à se conformer à diverses dispositions du droit de l’Union qui leur impose précisément une telle obligation pour certaines catégories de contrats, notamment les contrats de crédit (4). Cela étant, ces sociétés ne sont pas les seules à fournir de tels services. Conscient de la nécessité d’assurer une certaine transparence et prévisibilité dans les transactions financières, le législateur de l’Union exige des États membres de créer et de tenir un ou plusieurs registres dans lesquels sont publiées des informations concernant les procédures d’insolvabilité.
32. Il s’ensuit que plusieurs bases de données existeront en parallèle, à savoir, d’un côté, les registres « officiels » gérés par les autorités publiques et, de l’autre, les bases de données administrées par des sociétés privées. Ce parallélisme peut conduire à une concurrence entre les systèmes et même susciter des conflits légaux si les régimes juridiques auxquels ces registres sont soumis varient sensiblement. Les différences réglementaires peuvent devenir particulièrement problématiques si elles affectent la protection des données, car quelle que soit l’entité, publique ou privée, qui gère le registre, celui-ci doit respecter l’intérêt des personnes concernées dans la façon dont sont gérées et enregistrées ces données. En effet, les informations relatives à la situation économique d’une personne se caractérisant par leur sensibilité au regard du respect du droit à la protection des données à caractère personnel et de la vie privée, une vigilance particulière s’impose.
33. Le RGPD, applicable depuis le 25 mai 2018, a créé un cadre juridique qui cherche à tenir compte des intérêts susmentionnés dans l’ensemble de l’Union, entre autres en imposant certaines conditions au traitement des données à caractère personnel. Ainsi, l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD exige que le traitement soit nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel. En d’autres termes, la licéité du traitement doit résulter d’une pondération des divers intérêts en jeu, les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers devant prévaloir. C’est à l’autorité de contrôle, qui, en vertu de l’article 77, paragraphe 1, du RGPD, devra traiter toute réclamation éventuelle de la personne concernée tirée de la violation de ses droits fondamentaux, qu’il appartient de vérifier si ces conditions sont réunies. Enfin, si cette personne décidait de former un recours contre les décisions de l’autorité de contrôle, conformément à l’article 78, paragraphe 1, du RGPD, il incombera aux juridictions nationales d’assurer un contrôle juridictionnel effectif.
34. Les points précédents des présentes conclusions résument brièvement les divers aspects juridiques soulevés par la juridiction de renvoi dans ses demandes de décision préjudicielle. La première question porte sur la nature juridique d’une décision prise par l’autorité de contrôle saisie d’une réclamation, ainsi que sur l’étendue du contrôle juridictionnel que le juge peut exercer dans le cadre d’un recours formé contre une telle décision. Les deuxième à cinquième questions portent, en substance, sur la licéité de la conservation, auprès de sociétés fournissant des informations commerciales, de données à caractère personnel provenant de registres publics. Les questions préjudicielles seront examinées ci-après dans l’ordre dans lequel elles ont été posées par la juridiction de renvoi.
B. Sur la première question préjudicielle
35. Étant donné que la première question porte sur les deux étapes de la voie de recours administrative, à savoir la plainte auprès de l’autorité de contrôle et le recours juridictionnel auprès d’une autorité judiciaire, régis par les articles respectivement 77 et 78 du RGPD, j’estime opportun de décrire succinctement ces deux étapes et, ce faisant, d’aborder les aspects juridiques sur lesquels s’interroge la juridiction de renvoi.
36. Ainsi que je l’ai indiqué dans mes remarques préliminaires, le RGPD vise à assurer la protection des personnes physiques à l’égard du traitement des données à caractère personnel, reconnue en tant que droit fondamental à l’article 8, paragraphe 1, de la Charte ainsi qu’à l’article 16, paragraphe 1, TFUE. Tout traitement de données à caractère personnel étant susceptible d’avoir une incidence sur la vie privée, il faut également mentionner la protection garantie par l’article 7 de la Charte (5). En outre, il découle de l’article 1er, paragraphe 2, du RGPD, lu conjointement avec les considérants 10, 11 et 13 de ce règlement, que le législateur de l’Union confie cette tâche aux organes et aux organismes de l’Union, mais aussi aux autorités compétentes des États membres, parmi lesquelles figurent les autorités de contrôle et les juridictions nationales (6).
1. Le rôle des autorités de contrôle, y compris l’obligation d’examiner des réclamations
37. À cet égard, il convient de relever que l’article 8, paragraphe 3, de la Charte dispose que le respect des règles sur la protection des données à caractère personnel est soumis au contrôle d’une autorité indépendante. L’article 57, paragraphe 1, sous a), du RGPD met en œuvre cette obligation dérivée du droit primaire, en disposant que chaque autorité de contrôle a pour mission de contrôler l’application de ce règlement et de veiller au respect de celui-ci. Le traitement des réclamations introduites par une personne concernée fait partie de ses responsabilités, ainsi qu’il ressort expressément de l’article 57, paragraphe 1, sous f), du RGPD.
38. La Cour a jugé que, en vertu de cette disposition, « chaque autorité de contrôle est tenue, sur son territoire, de traiter les réclamations que toute personne, conformément à l’article 77, paragraphe 1, du RGPD, est en droit d’introduire lorsqu’elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation dudit règlement, et d’en examiner l’objet dans la mesure du nécessaire » (7). Dans ce contexte, il y a lieu d’attirer l’attention sur le fait que la Cour a souligné l’obligation qui incombe à l’autorité de contrôle de « procéder au traitement d’une telle réclamation avec toute la diligence requise » afin de garantir le respect des dispositions du RGPD. De même, il convient de noter que le considérant 141 du RGPD précise que « [l]’enquête faisant suite à une réclamation devrait être menée [...] dans la mesure appropriée requise par le cas d’espèce » (mise en italique par mes soins).
39. Tous ces éléments m’amènent à penser que l’autorité de contrôle a une obligation impérative de traiter les réclamations introduites par une personne concernée, et ce avec toute la diligence requise par le cas d’espèce (8). Dans la mesure où toute violation du RGPD est, en principe, susceptible de constituer une atteinte aux droits fondamentaux, il me semblerait incompatible avec le système établi par ce règlement d’accorder à l’autorité de contrôle un pouvoir discrétionnaire de traiter ou non des réclamations. Une telle approche remettrait en cause le rôle crucial que lui confère le RGPD consistant à veiller au respect des règles sur la protection des données à caractère personnel et irait, par conséquent, à l’encontre des objectifs poursuivis par le législateur de l’Union (9). En fin de compte, il ne faut pas oublier que les réclamations constituent une source précieuse d’information pour l’autorité de contrôle, lui permettant de déceler les infractions (10).
40. Cette interprétation est d’autant plus convaincante que l’article 57, paragraphe 1, sous f), du RGPD impose à l’autorité de contrôle une série d’exigences dans le cadre du traitement d’une telle réclamation, à savoir l’obligation d’examiner l’objet de la réclamation, dans la mesure nécessaire, d’informer l’auteur de la réclamation de l’état de l’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire. À cela s’ajoute l’obligation, visée à l’article 77, paragraphe 2, du RGPD, d’informer l’auteur de la réclamation de l’état d’avancement et de l’issue de celle-ci, y compris de la possibilité d’un recours juridictionnel en vertu de l’article 78 du RGPD. Toutes ces exigences, qui relèvent de la notion de « bonne administration », cette dernière ayant trouvé une expression à l’article 41 de la Charte en ce qui concerne spécifiquement les activités des institutions et organes de l’Union (11), visent à renforcer la procédure de réclamations afin d’en faire un véritable recours administratif.
41. Si l’autorité de contrôle, en tant que garante du respect des dispositions du RGPD, est tenue de traiter les réclamations qui lui sont présentées, plusieurs éléments militent en faveur d’une interprétation selon laquelle celle-ci dispose d’un pouvoir d’appréciation lors de l’examen de ces réclamations, ainsi que d’une certaine marge de manœuvre en ce qui concerne le choix des moyens appropriés afin d’accomplir ses missions. En effet, M. l’avocat général Saugmandsgaard Øe a observé que l’article 58, paragraphe 1, du RGPD « investit [...] les autorités de contrôle d’importants pouvoirs d’enquête » et que celles-ci disposent, en vertu de l’article 58, paragraphe 2, de ce règlement, d’un « large éventail de moyens [...] pour accomplir la tâche qui [leur] a été impartie », se référant dans ce contexte aux divers pouvoirs d’adoption des mesures correctrices énumérés dans cette disposition (12). Il a ensuite précisé que, si l’autorité de contrôle compétente « est tenue de s’acquitter pleinement de la mission de surveillance qui lui a été confiée », « le choix du moyen le plus efficace relève de [s]a discrétion [...] eu égard à toutes les circonstances [...] en cause » (13). Je ne peux que me rallier à cette interprétation.
42. La description détaillée du pouvoir des autorités de contrôle d’adopter des mesures correctrices met en évidence le fait que le législateur de l’Union n’a pas eu pour objectif de faire de la procédure de réclamation une procédure s’apparentant à celle d’une pétition. Au contraire, l’objectif législatif semble avoir été de créer un mécanisme capable de sauvegarder de manière efficace les droits et intérêts des personnes qui introduisent des réclamations. Cela étant dit, il me semble clair que cette marge de manœuvre ne saurait être interprétée en ce sens que l’autorité de contrôle disposerait d’un pouvoir illimité, l’habilitant à agir de manière arbitraire. Tout au contraire, l’autorité de contrôle est obligée d’exercer ladite marge de manœuvre en respectant les limites que lui impose le droit de l’Union. C’est également pour cette raison qu’on ne saurait exclure la possibilité que l’autorité de contrôle, en tant qu’organe administratif, se voie contrainte d’adopter une mesure déterminée en raison des circonstances particulières de l’espèce, notamment lorsqu’il existe un risque sérieux d’atteinte aux droits fondamentaux de la personne concernée.
43. Cette interprétation, qui concède à l’autorité de contrôle une certaine marge de manœuvre dans le choix de moyens, est corroborée par l’article 58, paragraphe 4, du RGPD, lequel prévoit que « [l]’exercice des pouvoirs conférés à l’autorité de contrôle en application du présent article est subordonné à des garanties appropriées, y compris le droit à un recours juridictionnel effectif » (mise en italique par mes soins), conformément à l’article 47 de la Charte. L’article 78, paragraphes 1 et 2, du RGPD reconnaît, par ailleurs, le droit pour toute personne de former un recours juridictionnel effectif contre une décision juridiquement contraignante d’une autorité de contrôle qui la concerne ou lorsque cette autorité omet de traiter sa réclamation.
44. Cela nous amène à la question relative à la nature juridique des décisions prises par l’autorité de contrôle que la juridiction de renvoi a soulevée dans ses demandes de décision préjudicielle. À cet égard, il convient d’évoquer le considérant 141 du RGPD, dont il ressort que « [t]oute personne concernée devrait avoir le droit d’introduire une réclamation auprès d’une [...] autorité de contrôle [...] et disposer du droit à un recours juridictionnel effectif conformément à l’article 47 de la Charte si elle estime que les droits que lui confère le présent règlement sont violés ou si l’autorité de contrôle ne donne pas suite à sa réclamation, la refuse ou la rejette, en tout ou en partie, ou si elle n’agit pas alors qu’une action est nécessaire pour protéger les droits de la personne concernée » (mise en italique par mes soins). Ce considérant tient compte du fait qu’une décision de l’autorité de contrôle peut faire grief à la personne concernée, notamment si elle conclut que la réclamation n’est pas fondée, considère qu’il n’y a pas de violation du RGPD et ne prend donc pas de mesures pour corriger la situation ayant donné lieu à la réclamation. Le législateur de l’Union reconnaît l’effet juridiquement contraignant d’une telle décision et, par conséquent, ouvre à l’auteur de la réclamation une voie de recours devant une juridiction nationale.
45. De même, il convient de relever qu’il n’est pas loisible à l’autorité de contrôle de ne pas réagir, car il ressort de l’article 78, paragraphe 2, du RGPD que « toute personne concernée a le droit de former un recours juridictionnel effectif lorsque l’autorité de contrôle qui est compétente en vertu des articles 55 et 56 ne traite pas une réclamation ou n’informe pas la personne concernée, dans un délai de trois mois, de l’état d’avancement ou de l’issue de la réclamation qu’elle a introduite au titre de l’article 77 ». Cette circonstance interdit d’assimiler la procédure de réclamation à une pétition.
46. En l’espèce, ainsi que la juridiction de renvoi l’a exposé dans ses décisions de renvoi, l’autorité de contrôle a adopté des décisions juridiquement contraignantes à l’égard des requérants au principal. Elle a constaté, en substance, que le traitement des données à caractère personnel des requérants par SCHUFA était licite en vertu de l’article 6, paragraphe 1, premier alinéa, sous b) et f), du RGPD et, à ce titre, a implicitement écarté le recours à une mesure d’enquête ou correctrice.
2. L’étendue du contrôle juridictionnel des décisions prises par l’autorité de contrôle
47. Le recours juridictionnel prévu à l’article 78 du RGPD constitue la seconde étape de la voie de recours administrative prévue par ce règlement. Il convient de relever dans ce contexte que tant la « réclamation » auprès de l’autorité de contrôle que le « recours juridictionnel » sont conçus comme des « droits » de la personne concernée, ce qui est parfaitement compréhensible si l’on part de l’idée selon laquelle les articles 77 à 79 du RGPD visent à mettre en œuvre le droit à un recours effectif, consacré à l’article 47 de la Charte. Comme je l’ai indiqué précédemment (14), une lecture combinée de l’article 58, paragraphe 4 et de l’article 78 du RGPD, à la lumière du considérant 141 de ce règlement, permet de déceler clairement cet objectif (15).
48. S’agissant de l’étendue du contrôle juridictionnel sur les décisions prises par l’autorité de contrôle, il y a lieu de rappeler que les règles nationales en matière de procédure administrative s’appliquent généralement dans le cadre de l’autonomie procédurale, sous réserve des principes d’équivalence et d’effectivité (16). Cependant, je considère qu’un recours ne peut être « effectif » au sens de l’article 47 de la Charte et de l’article 78, paragraphe 1, du RGPD que si la juridiction nationale compétente a le pouvoir et l’obligation de soumettre la décision sur le fond de l’autorité de contrôle à un contrôle juridictionnel entier afin de vérifier si l’autorité de contrôle a correctement appliqué le RGPD.
49. Comme la Cour l’a rappelé dans sa jurisprudence, « une réglementation ne prévoyant aucune possibilité pour le justiciable d’exercer des voies de droit afin d’avoir accès à des données à caractère personnel le concernant, ou d’obtenir la rectification ou la suppression de telles données, ne respecte pas le contenu essentiel du droit fondamental à une protection juridictionnelle effective, tel que consacré à l’article 47 de la Charte. En effet, l’article 47, premier alinéa, de la Charte exige que toute personne dont les droits et libertés garantis par le droit de l’Union ont été violés ait droit à un recours effectif devant un tribunal dans le respect des conditions prévues à cet article. À cet égard, l’existence même d’un contrôle juridictionnel effectif destiné à assurer le respect des dispositions du droit de l’Union est inhérente à l’existence d’un État de droit » (17).
50. Afin de déterminer l’étendue du contrôle juridictionnel sur les décisions prises par l’autorité de contrôle, il me semble pertinent d’évoquer d’abord le considérant 141 du RGPD, dont il ressort que « [l]’enquête faisant suite à une réclamation devrait être menée, sous contrôle juridictionnel, dans la mesure appropriée requise par le cas d’espèce » (mise en italique par mes soins). Ensuite, il convient d’évoquer le considérant 143 du RGPD, qui énonce que « toute personne physique ou morale devrait disposer d’un recours juridictionnel effectif, devant la juridiction nationale compétente, contre une décision d’une autorité de contrôle qui produit des effets juridiques à son égard. Une telle décision concerne en particulier l’exercice, par l’autorité de contrôle, de pouvoirs d’enquête, d’adoption de mesures correctrices et d’autorisation ou le refus ou le rejet de réclamations » (mise en italique par mes soins). À mon avis, ces passages doivent être compris en ce sens que le contrôle juridictionnel à effectuer par la juridiction nationale en vertu de l’article 78 du RGPD doit être entier, c’est-à-dire qu’il doit s’étendre à tous les aspects pertinents qui relèvent du pouvoir d’appréciation exercé par l’autorité de contrôle dans le cadre de l’examen de l’objet d’une réclamation, ainsi que de sa marge discrétionnaire quant au choix des mesures d’enquête et des mesures correctrices.
51. L’objectif du législateur de l’Union de garantir un contrôle juridictionnel entier sur toute décision d’une autorité de contrôle qui produit des effets juridiques à l’égard de la personne concernée ayant introduit une réclamation auprès de celle-ci devient particulièrement évident si l’on prend en compte un autre passage du considérant 143 du RGPD, qui énonce que « [l]es actions contre une autorité de contrôle devraient être portées devant les juridictions de l’État membre sur le territoire duquel l’autorité de contrôle est établie et être menées conformément au droit procédural de cet État membre. Ces juridictions devraient disposer d’une pleine compétence, et notamment de celle d’examiner toutes les questions de fait et de droit relatives au litige dont elles sont saisies » (mise en italique par mes soins) (18). Je considère que seul un contrôle juridictionnel d’une telle ampleur répond aux exigences de l’article 47 de la Charte (19).
52. En revanche, les arguments soulevés par SCHUFA et par le HBDI militant pour un contrôle juridictionnel limité des décisions des autorités de contrôle ne me semblent pas convaincants. Premièrement, l’« indépendance » reconnue à l’autorité de contrôle au titre de l’article 52 du RGPD, qui concrétise l’exigence visée à l’article 8, paragraphe 3, de la Charte, a pour objectif de protéger cette autorité de toute ingérence indue, mais ne la dispense pas de l’obligation d’exercer ses missions et ses pouvoirs dans le plein respect du droit de l’Union et de soumettre ses décisions à un contrôle juridictionnel effectif, comme toute autre autorité nationale. Deuxièmement, l’existence d’un droit à un recours juridictionnel contre le responsable du traitement, prévu à l’article 79 du RGPD, n’exclut pas le droit d’introduire un recours contre une décision prise par l’autorité de contrôle, au titre de l’article 78 du RGPD. Ces voies de recours coexistent de manière autonome, sans que l’une soit subsidiaire par rapport à l’autre, de sorte qu’elles puissent être exercées de manière parallèle (20). On ne saurait donc reprocher aux requérants d’avoir agi illicitement dans la défense de leurs droits protégés par le RGPD au motif d’avoir privilégié une voie de recours déterminée. En conséquence, il y a lieu de rejeter ces arguments.
53. Au vu des considérations qui précèdent, il y a lieu de répondre à la première question préjudicielle que l’article 78, paragraphe 1, du RGPD doit être interprété en ce sens qu’il résulte de cette disposition qu’une décision juridiquement contraignante d’une autorité de contrôle est soumise à un contrôle juridictionnel entier sur le fond.
C. Sur les deuxième à cinquième questions préjudicielles
54. Les deuxième à cinquième questions préjudicielles portent, en substance, sur la licéité de la conservation, auprès des sociétés fournissant des informations commerciales, de données à caractère personnel provenant de registres publics. Les questions posées par la juridiction de renvoi soulèvent une série de problèmes juridiques liés à cette pratique qu’il faudra examiner de manière structurée. Par souci de clarté, j’estime opportun de regrouper les questions par thème et de les traiter dans cet ordre.
55. Afin de donner à la juridiction de renvoi une réponse utile qui lui permette de trancher le litige dont elle est saisie, la Cour sera amenée à interpréter plusieurs dispositions du RGPD qui, bien qu’elles n’aient pas été visées expressément dans les questions, semblent toutefois pertinentes. Une telle approche est possible étant donné que, selon une jurisprudence constante, la Cour peut extraire de l’ensemble des éléments fournis par la juridiction de renvoi, et notamment de la motivation de la décision de renvoi, les normes et les principes de droit de l’Union qui appellent une interprétation compte tenu de l’objet du litige au principal (21).
56. Une telle analyse approfondie me semble d’autant plus nécessaire que la juridiction de renvoi se réfère parfois exclusivement aux articles 7 et 8 de la Charte dans ses questions, bien que ces dispositions ne soient pas à appliquer isolément, comme l’a expliqué la Cour, mais à prendre en compte dans le cadre de la mise en balance prévue à l’article 6, paragraphe 1, premier alinéa, sous f) du RGPD (22). En outre, on rappellera dans ce contexte que, dans la mesure où les dispositions du RGPD mettent en œuvre les droits fondamentaux en cause, l’interprétation du droit dérivé constitue logiquement le point de départ de toute exégèse, celui-ci devant être lu à la lumière du droit primaire, dont la Charte fait partie intégrante (23). J’intégrerai donc dans l’analyse ci-après toutes les dispositions qui me semblent pertinentes.
1. Sur la conformité de la pratique des sociétés fournissant des informations commerciales aux principes régissant le traitement des données à caractère personnel consacrés dans le RGPD
57. Le chapitre II du RGPD, intitulé « Principes », établit les principes relatifs au traitement des données à caractère personnel. J’examinerai ci-après si la pratique des sociétés fournissant des informations commerciales, consistant à conserver des données à caractère personnel provenant de registres publics pour une durée de trois ans, est conforme aux principes qui me paraissent les plus pertinents dans le présent contexte, à savoir les principes de licéité, de limitation des finalités et de minimisation des données.
58. Aux fins de l’analyse, je m’appuierai sur les informations fournies par la juridiction de renvoi et SCHUFA, soulignant tout de même qu’il incombe à cette dernière, en tant que responsable du traitement, de démontrer que les principes susmentionnés ont été respectés, conformément au principe de responsabilité énoncé à l’article 5, paragraphe 2, du RGPD.
a) Sur la conformité au principe de licéité [article 6, paragraphe 1, premier alinéa, sous f), du RGPD]
59. L’article 5, paragraphe 1, sous a), du RGPD exige que les données à caractère personnel soient traitées de manière licite, loyale et transparente au regard de la personne concernée. Aux termes de l’article 6, paragraphe 1, du RGPD, le traitement de données à caractère personnel n’est licite que si la condition relative à l’un des motifs qui y sont énumérés est remplie. Ainsi que la Cour l’a jugé, il s’agit d’une liste exhaustive et limitative des cas dans lesquels un tel traitement peut être considéré comme licite (24). La juridiction de renvoi souhaite savoir, en substance, si l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD autorise une société privée fournissant des informations commerciales à conserver des données à caractère personnel provenant de registres publics afin de mettre ces données à la disposition d’un client en cas de demande.
60. Selon la jurisprudence de la Cour (25), l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits fondamentaux et les libertés fondamentales de la personne concernée par la protection des données ne prévalent pas. S’il appartient à la juridiction de renvoi d’apprécier si ces conditions sont remplies, il incombe cependant à la Cour de la guider dans cette appréciation en clarifiant les questions de droit soulevées.
1) L’existence d’un « intérêt légitime »
61. S’agissant, tout d’abord, de la poursuite d’un « intérêt légitime », je tiens à rappeler que le RGPD et la jurisprudence reconnaissent un large éventail d’intérêts considérés comme étant légitimes (26), tout en précisant que, conformément à l’article 13, paragraphe 1, sous d), du RGPD, il incombe au responsable du traitement d’indiquer les intérêts légitimes poursuivis dans le cadre de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD.
62. SCHUFA fait valoir que le traitement de données en cause sert à la poursuite d’intérêts légitimes revêtant une grande importance. Plus spécifiquement, les sociétés fournissant des informations commerciales traiteraient des données nécessaires à l’évaluation de la solvabilité de personnes ou d’entreprises, afin de pouvoir mettre ces informations à la disposition de leurs partenaires contractuels. Cela protègerait également les intérêts économiques des entreprises qui souhaitent conclure des contrats liés à un crédit. En outre, la détermination de la solvabilité et la fourniture d’informations sur la solvabilité constitueraient le fondement du crédit et de la capacité de fonctionnement de l’économie. L’activité de ces sociétés contribuerait également à concrétiser les souhaits commerciaux des personnes intéressées par des opérations liées au crédit, car les renseignements permettraient un examen rapide et non bureaucratique.
63. Je considère qu’il n’existe, en principe, aucune raison objective de douter de la légitimité de l’intérêt de SCHUFA à fournir à ses clients le service commercial décrit ci-dessus ni de l’intérêt des clients de SCHUFA à recourir à ses services pour évaluer la solvabilité de partenaires commerciaux potentiels dans le sens indiqué. S’il est vrai que la prestation de ce type de services a pour but d’obtenir une rémunération et, partant, constitue le modèle économique d’une société privée, il n’en reste pas moins que cette circonstance ne suffit pas, à elle seule, pour remettre en cause le fait que la première condition visée à l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD est remplie en l’espèce.
64. Qui plus est lorsque l’objectif poursuivi par le service en cause est, en substance, similaire à celui que le législateur de l’Union a visé en adoptant l’article 24 du règlement 2015/848, qui impose aux États membres de créer et de tenir, sur leur territoire, un ou plusieurs registres dans lesquels sont publiées des informations concernant les procédures d’insolvabilité. Ainsi qu’il découle du considérant 76 de ce règlement, l’objectif de ces registres publics est « d’améliorer la communication d’informations aux créanciers et juridictions concernés et d’éviter l’ouverture de procédures d’insolvabilité parallèles ». Il me semble que le service offert par SCHUFA n’a pas d’autre but. La question de savoir si le parallélisme de systèmes peut conduire à des conflits légaux sera examinée plus loin. À ce stade de l’analyse, il suffit de retenir que, eu égard à cette identité d’objectifs, le traitement de données effectué par SCHUFA doit être considéré comme servant un intérêt légitime au sens de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD.
2) La « nécessité » du traitement pour atteindre l’intérêt légitime
65. En ce qui concerne la condition relative à la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi, selon la jurisprudence de la Cour, les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire (27). Il faut donc qu’il y ait un lien étroit entre le traitement et l’intérêt poursuivi, en l’absence d’alternatives plus respectueuses de la protection des données à caractère personnel, car il ne suffit pas que le traitement relève d’une simple utilité pour le responsable du traitement.
66. En l’espèce, il conviendrait de démontrer que la récupération de données à caractère personnel relatives à l’insolvabilité provenant de registres publics et leur conservation privée constituent la seule possibilité pour SCHUFA d’offrir ces informations précises à ses clients à des fins commerciales. On ne peut pas exclure que SCHUFA ait la possibilité d’offrir le service commercial et de fournir des informations sur la solvabilité des personnes, en recourant à d’autres données disponibles. Il appartient à la juridiction de renvoi de vérifier si cette possibilité permettrait encore à SCHUFA d’offrir utilement ce service commercial à ses clients.
67. SCHUFA considère que le traitement de données est nécessaire. Selon elle, si une société fournissant des informations commerciales attendait une demande concrète avant de commencer à collecter les données, il serait impossible de fournir un renseignement en temps utile. SCHUFA estime que le fait que les données soient (également) accessibles au public pendant un certain temps n’a aucune incidence sur les intérêts légitimes des sociétés qui fournissent des informations commerciales ni sur la nécessité du traitement.
68. Si la conservation de données à caractère personnel provenant de registres publics n’était pas nécessaire pour permettre à SCHUFA d’offrir son service commercial à ses clients, ce traitement ne saurait être licite sur la base de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD. En revanche, si la deuxième condition de cette disposition était remplie, la juridiction de renvoi devrait encore examiner la troisième et dernière condition cumulative de ladite disposition.
3) Mise en balance des différents intérêts en jeu
69. S’agissant, enfin, de la mise en balance, d’une part, des intérêts du responsable du traitement et, d’autre part, des intérêts ou des libertés fondamentales et des droits fondamentaux de la personne concernée, selon la jurisprudence de la Cour, il incombe à la juridiction de renvoi d’effectuer une pondération des intérêts en jeu (28). À cet égard, les lignes directrices de l’ancien groupe de travail « Article 29 », devenu le « Comité européen de la protection des données », dont les missions sont définies à l’article 70 du RGPD, énumèrent les critères suivants à prendre en considération lors de cette mise en balance : i) l’appréciation de l’intérêt légitime du responsable du traitement ; ii) l’incidence sur les personnes concernées ; iii) le bilan provisoire, et iv) les garanties supplémentaires mises en place par le responsable du traitement afin de prévenir toute incidence injustifiée sur les personnes concernées (29). Dans l’intérêt d’une analyse circonstanciée et logique, je propose d’appliquer ces critères aux affaires au principal. Une telle approche contribuera de surcroît à une application plus cohérente du RGPD, conformément aux objectifs visés par le législateur de l’Union.
i) Appréciation de l’« intérêt légitime » du responsable du traitement
70. S’agissant du premier critère, il y a lieu de constater que l’intérêt, tant de SCHUFA que de ses clients, est de nature purement économique. Des sociétés privées conservent des données à caractère personnel importées de registres publics afin d’offrir à leurs clients le service consistant à fournir des informations sur la solvabilité de la personne concernée en se servant notamment de ces données. Comme je l’ai expliqué précédemment (30), un tel intérêt semble légitime aux fins de la présente analyse.
ii) Incidence du traitement sur les personnes concernées
71. En ce qui concerne le deuxième critère, c’est-à-dire l’incidence du traitement sur la personne concernée, le délai d’effacement semble être le facteur pertinent. Plus la durée de conservation des données dans des bases de données de sociétés privées fournissant des informations commerciales est longue, plus les conséquences sur la personne concernée sont importantes. En l’espèce, les données à caractère personnel des requérants au principal ont été traitées dans le registre public afin « d’améliorer la communication d’informations aux créanciers et juridictions concernés et d’éviter l’ouverture de procédures d’insolvabilité parallèles », comme l’exige le considérant 76 du règlement 2015/848. Lors de la mise en balance des différents intérêts, le législateur allemand a considéré que la période pendant laquelle la publication de données relatives à une procédure d’insolvabilité dans de tels registres publics était nécessaire pour atteindre cet objectif était de six mois. La conservation des données à caractère personnel au-delà de cette période de six mois semble donc, a priori, avoir une incidence négative considérable sur la personne concernée.
72. Il ressort de la jurisprudence de la Cour qu’il existe d’autres facteurs à prendre en compte dans le cadre de l’analyse, à savoir les modalités d’accès aux bases de données ainsi que les facilités offertes aux fins de la diffusion des données à caractère personnel (31). Pour le dire simplement, plus l’information est facilement accessible au public, plus l’ingérence dans les droits fondamentaux de la personne concernée est grave. Cela est particulièrement vrai lorsque le nombre d’utilisateurs ayant accès aux données de la personne concernée est important (32). Dès lors, il me paraît évident que, même si les données sont déjà disponibles dans des registres publics pendant ladite période de six mois, le fait qu’elles soient conservées et disponibles en parallèle dans les bases de données des sociétés privées fournissant des informations commerciales a une incidence supplémentaire sur la vie privée de l’individu, qui vient s’ajouter aux conséquences négatives de la disponibilité de ces données dans des registres publics.
73. Un facteur additionnel à prendre en compte dans l’analyse est la nature éventuellement sensible des données en cause (33). On peut affirmer, de manière générale, que l’incidence sur la personne concernée augmente en fonction de la sensibilité des données à caractère personnel. À cet égard, il convient de noter qu’il ressort de la jurisprudence de la Cour que les données à caractère personnel relatives au recouvrement de créances sont effectivement des données sensibles pour la vie privée de la personne concernée (34). La mise à disposition de ce type de données à un nombre en principe illimité d’utilisateurs doit donc être considérée comme une ingérence importante dans les droits fondamentaux de cette personne (35).
74. Enfin, il me semble indispensable de tenir également compte du facteur temps. En effet, même un traitement licite de données peut ne plus être conforme au RGPD au fil du temps lorsque ces données ne sont pas ou plus pertinentes ou sont excessives au regard de la finalité pour laquelle elles ont été collectées à l’origine. Dans cette optique, je me demande sérieusement comment le stockage de données à caractère personnel pourrait être justifié pour une durée de trois ans alors que le législateur national considère qu’une période de conservation de six mois, c’est-à-dire une durée nettement plus courte, suffit largement pour tenir compte des intérêts commerciaux des opérateurs économiques. Je tiens à constater que SCHUFA n’a pas été en mesure de donner une réponse claire et convaincante à cette question (36) bien qu’il lui incombe, en vertu de l’article 5, paragraphe 2, du RGPD, de démontrer que les principes relatifs au traitement des données à caractère personnel ont été respectés (37).
iii) Bilan provisoire
75. Une appréciation de tous les éléments mentionnés aux points précédents m’amène à conclure que les conséquences négatives considérables que la conservation des données aura sur la personne concernée après la période de six mois en question semblent l’emporter sur l’intérêt commercial de la société privée et de ses clients à conserver les données après cette période. Dans ce contexte, il est important de souligner que la libération de reliquat de dette accordée est censée permettre au bénéficiaire de participer de nouveau à la vie économique (38). Les requérants au principal et la Commission ont également attiré l’attention sur cet aspect lors de l’audience. Or cet objectif serait contrecarré si des sociétés privées fournissant des informations commerciales étaient autorisées à conserver des données à caractère personnel dans leurs bases de données après que ces données ont été effacées du registre public.
iv) Garanties supplémentaires
76. Enfin, en ce qui concerne les garanties supplémentaires éventuellement mises en place par le responsable du traitement afin de prévenir toute incidence injustifiée sur les personnes concernées, rien dans la décision de renvoi ou dans les observations de SCHUFA ne permet d’apercevoir de telles garanties.
4) Conclusion intermédiaire
77. Eu égard aux considérations qui précèdent, je considère que la conservation des données par une société privée fournissant des informations commerciales ne saurait être licite sur la base de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD à partir du moment où les données à caractère personnel relatives à une insolvabilité auront été effacées des registres publics.
78. En ce qui concerne la période de six mois au cours de laquelle les données à caractère personnel sont également disponibles dans des registres publics, il appartient à la juridiction de renvoi de mettre en balance les intérêts et les incidences sur la personne concernée susmentionnés, afin d’établir si la conservation parallèle de ces données par des sociétés privées fournissant des informations commerciales est licite sur la base de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD.
b) Sur la conformité aux principes de limitation des finalités et de minimisation des données [article 5, paragraphe 1, sous b) et c), du RGPD]
79. Conformément au principe de limitation des finalités, énoncé à l’article 5, paragraphe 1, sous b), du RGPD, il convient de veiller à ce que les données à caractère personnel collectées pour une finalité déterminée ne soient pas traitées ultérieurement d’une manière incompatible avec ces finalités. En l’espèce, les données relatives à l’insolvabilité et à une libération de reliquat de dette ont été traitées par des autorités publiques dans le cadre de l’exécution d’obligations légales.
80. Toutefois, en ce qui concerne l’utilisation ultérieure des données par une société privée, il convient d’examiner, au regard du RGPD et en appliquant les critères énoncés à l’article 6, paragraphe 4, de ce règlement, si la finalité visée est compatible avec la finalité initiale. Les points a), b) et d) de cette disposition sont particulièrement pertinents en l’espèce. Ils établissent les critères suivants : i) le lien entre la finalité initiale et la finalité ultérieure ; ii) le contexte dans lequel les données ont été collectées et, en particulier, la relation entre les personnes concernées et le responsable du traitement, ainsi que iii) les conséquences possibles du traitement ultérieur envisagé pour la personne concernée.
81. Premièrement, il semble que le lien entre les finalités est ténu, ne serait-ce que parce que la finalité initiale est prévue par la loi, plus concrètement par le droit de l’Union, qui impose aux États membres l’obligation de créer et de tenir des registres (39), et que le responsable du traitement est une autorité publique agissant dans le cadre des missions qui lui sont confiées par la loi, tandis que la finalité ultérieure est poursuivie par une entité privée, dans le cadre d’une activité commerciale consistant à fournir des informations économiques sur les personnes.
82. Deuxièmement, concernant le contexte dans lequel les données ont été collectées, il y a lieu de constater qu’il n’existe aucun lien entre le responsable du traitement et la personne concernée, étant donné que la collecte des données s’effectue indirectement au travers de registres et que la personne concernée n’a donc pas connaissance du fait que ses données puissent être utilisées ultérieurement, ni par qui ni à quelle fin. Cet aspect me paraît particulièrement grave du point de vue de la protection des données à caractère personnel, étant donné que, en règle générale, personne ne peut raisonnablement s’attendre à un traitement ultérieur de ses données à caractère personnel (40). Le fait que la loi prescrive une durée déterminée pour la conservation des données dans les registres publics est susceptible de donner raisonnablement à penser que les données en cause seront effacées après l’expiration de cette période.
83. Troisièmement, s’agissant des conséquences possibles que le traitement ultérieur des données peut avoir pour les personnes concernées, il convient de souligner que les informations relatives aux procédures d’insolvabilité seront toujours utilisées comme facteur négatif lors d’une évaluation future de la solvabilité et de la capacité de paiement de la personne physique concernée, ce qui a une incidence importante sur les droits de cette personne. Une fausse image de sa situation économique peut produire des effets défavorables à la personne concernée, en compliquant sensiblement l’exercice de ses libertés, voire en la stigmatisant dans la société. Dans la mesure où la personne concernée peut se heurter à un déni de biens et de services, elle pourra être victime d’une discrimination injustifiée.
84. Au vu de ces trois critères, qui doivent être remplis pour que l’utilisation des données à caractère personnel soit conforme à la finalité initiale, comme le veut l’article 6, paragraphe 4, du RGPD, il semble douteux que l’utilisation ultérieure de ces données puisse être conforme à cette finalité.
85. De surcroît, il convient de relever que, en fixant à six mois le délai maximal pendant lequel la situation d’insolvabilité et la décision judiciaire relative à la libération de reliquat de dette font l’objet d’une publication si les conditions légales sont réunies, le législateur national a déjà pris en compte la réalisation de l’intérêt public et mis en balance l’intérêt des créanciers, d’une part, et les intérêts ainsi que les droits des personnes insolvables, d’autre part (41). Le traitement de données à caractère personnel par des sociétés privées pendant une période six fois plus longue que celle prévue par la loi pour les registres publics semble excessif et pénalise de facto la personne concernée, bien que la loi n’envisage clairement rien de tel. En effet, ainsi que je l’ai déjà relevé, la libération de reliquat de dette accordée est censée permettre au bénéficiaire de participer de nouveau à la vie économique. Or cet objectif serait contrecarré si des sociétés privées fournissant des informations commerciales étaient autorisées à conserver des données à caractère personnel dans leurs bases de données après que celles-ci ont été effacées du registre public (42). En l’absence de preuve du contraire, il est à craindre que les conditions d’accès à la base de données puissent avoir été conçues dans l’intention de contourner la législation nationale, adoptée par l’État membre aux fins d’accomplir les obligations que lui impose le droit de l’Union (43).
86. Par ailleurs, il paraît disproportionné de « réutiliser » une situation passée et déjà clarifiée sur le plan juridique, comme la libération de reliquat de dette, dans des évaluations futures, plutôt que d’utiliser des facteurs actualisés au moment de l’analyse des risques afin de garantir une évaluation plus précise et objective de la situation économique de la personne concernée. En effet, on peut s’interroger sur la valeur d’une information relative à la situation économique d’une personne qui date de plusieurs années. Des données à caractère personnel liées à une circonstance qui remonte à un certain temps ne fourniront guère d’informations fiables sur la situation économique actuelle de la personne concernée. Le législateur allemand semble avoir reconnu ce problème et en avoir tiré les bonnes conclusions en optant pour une durée de conservation des données considérablement plus courte.
87. Enfin, la façon de procéder de la part des sociétés fournissant des informations commerciales me paraît aller à l’encontre du principe de la minimisation des données consacré à l’article 5, paragraphe 1, sous c), du RGPD, en vertu duquel les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. À cet égard se pose effectivement la question de savoir quel est le sens de mettre à disposition des données à caractère personnel qui sont déjà accessibles au public dans les registres créés par les États membres. Une telle activité me semble plutôt susceptible de conduire à une diffusion d’information sensible qui n’est pas forcement nécessaire pour répondre aux intérêts commerciaux des opérateurs économiques (44).
88. Pour les raisons exposées ci-dessus, je considère que la conservation de ces données par une société privée fournissant des informations commerciales ne constitue pas une pratique conforme aux principes de limitation des finalités et de minimisation des données, consacrés respectivement aux points b) et c) de l’article 5, paragraphe 1, du RGPD.
c) Conclusion intermédiaire
89. L’analyse qui précède m’amène à conclure que la pratique des sociétés fournissant des informations commerciales, consistant à conserver des données à caractère personnel provenant de registres publics pour une durée de trois ans, n’est pas conforme aux principes régissant le traitement des données à caractère personnel consacrés dans le RGPD. Cela étant dit, il convient de préciser que cette conclusion se fonde sur une appréciation des faits, qui appartient en fin de compte à la juridiction de renvoi, appelée à trancher le litige.
2. Sur le recours au droit à l’effacement (article 17, paragraphe 1, du RGPD)
90. La juridiction de renvoi souhaite savoir également si le « droit à l’oubli » consacré à l’article 17 du RGPD implique que les données à caractère personnel soient effacées des bases de données d’une société privée fournissant des informations commerciales qui existent parallèlement aux registres publics et contiennent les mêmes données. La juridiction de renvoi établit une distinction entre la période pendant laquelle les données à caractère personnel sont également disponibles dans le registre public et la période pendant laquelle ces données n’y sont plus disponibles.
91. L’article 17, paragraphe 1, sous d), du RGPD prévoit le droit absolu de la personne concernée à ce que ses données à caractère personnel soient effacées lorsqu’elles ont fait l’objet d’un traitement illicite (45). Par conséquent, dans l’hypothèse où, compte tenu de la conclusion à laquelle je suis parvenu dans le cadre de mon analyse (46), la juridiction de renvoi devait estimer que SCHUFA n’a pas pu traiter les données à caractère personnel des requérants de manière licite sur la base de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD, un tel traitement serait illicite si aucun autre motif visé à l’article 6, paragraphe 1, du RGPD ne s’appliquait. Dans un tel cas, SCHUFA serait tenue d’effacer les données à caractère personnel des requérants et ces derniers disposeraient d’un droit en ce sens, et ce indépendamment du fait que ceux-ci aient demandé d’effacer les données dans la période précédant ou suivant l’effacement de ces données du registre public. Un tel résultat paraît également conforme aux exigences de l’article 5, paragraphe 1, sous e), du RGPD, qui dispose que les données à caractère personnel sont « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (mise en italique par mes soins).
92. À cet égard, je tiens à attirer l’attention sur l’article 79, paragraphe 5, du règlement 2015/848, qui met en évidence l’importance que le législateur de l’Union a accordée au droit à l’effacement, notamment lorsque les autorités traitent des données à caractère personnel revêtant une sensibilité particulière comme celles liées à la solvabilité des personnes concernées. Conformément à cette disposition, « [d]ans le cadre des informations à fournir aux personnes concernées afin de leur permettre d’exercer leurs droits, et en particulier le droit à l’effacement des données, les États membres informent les personnes concernées de la période durant laquelle les données à caractère personnel stockées dans les registres d’insolvabilité sont accessibles » (mise en italique par mes soins). Le législateur de l’Union a évidemment reconnu la nécessité d’effacer ce type de donnés lorsque leur stockage ne se justifie plus.
93. Bien que les demandes de décision préjudicielle ne portent que sur l’interprétation de l’article 17, paragraphe 1, sous d), du RGPD, je considère que le point c), de ce paragraphe 1 peut se révéler également pertinent aux fins de l’arrêt à rendre dans les présentes affaires, à savoir dans l’hypothèse où la juridiction de renvoi devait estimer, contrairement à la conclusion à laquelle je suis parvenu sur la base des informations disponibles, que SCHUFA a pu traiter les données à caractère personnel des requérants de manière licite en vertu de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD. Cette disposition prévoit le droit à l’effacement des données à caractère personnel lorsque la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, du RGPD et qu’il n’existe pas de motif légitime impérieux pour le traitement. Cette formulation implique que tout « motif légitime impérieux pour le traitement » constitue une exception au droit de la personne concernée de s’opposer au traitement et d’obtenir l’effacement de ses données à caractère personnel. Par conséquent, la personne concernée est présumée disposer d’un droit de s’opposer au traitement et d’un droit à l’effacement à moins qu’il n’existe des motifs légitimes impérieux (47).
94. Je considère que, dans l’intérêt d’une protection effective des données à caractère personnel, il ne devrait pas y avoir d’obstacles importants à l’exercice du droit à l’effacement, et notamment lorsqu’il y a sur le marché plusieurs sociétés fournissant des informations commerciales qui conservent des données parallèlement au registre public. Si l’exercice de ce droit devait être rendu excessivement difficile en raison d’une interprétation stricte de l’article 17, paragraphe 1, du RGPD, la protection que le RGPD vise à offrir risque d’être contournée par des concurrents. Or il convient de rappeler que le législateur de l’Union a eu pour but d’« assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l’égard du traitement des données à caractère personnel dans l’ensemble de l’Union » (mise en italique par mes soins), ainsi qu’il ressort du considérant 10 du RGPD. Dès lors, la personne concernée doit être en mesure de faire valoir ses droits à l’égard de toutes les sociétés qui enfreignent ces règles. Étant donné que SCHUFA n’est que l’une des nombreuses grandes sociétés fournissant des informations commerciales en Allemagne, il sera nécessaire d’établir si la conservation des données à caractère personnel en parallèle au registre public constitue une pratique répandue parmi ces sociétés.
95. Il convient donc de retenir à ce stade de l’analyse que les requérants peuvent, en principe, se prévaloir d’un droit à l’effacement, en vertu de l’article 17, paragraphe 1, du RGPD. Le résultat ne serait différent que dans le cas où une société privée fournissant des informations commerciales a réussi à « démontre[r] qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée », au sens de l’article 21, paragraphe 1, du RGPD. Dans la mesure où les informations disponibles ne permettent pas d’apercevoir les motifs impérieux qui pourraient se présenter dans le litige au principal, il appartient à la juridiction de renvoi d’établir les faits et de procéder, le cas échéant, à une mise en balance des intérêts en jeu.
96. Eu égard aux considérations qui précèdent, l’article 17, paragraphe 1, sous d), du RGPD doit être interprété en ce sens que la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsque ces données ont fait l’objet d’un traitement illicite conformément à l’article 6, paragraphe 1, de ce règlement. L’article 17, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que la personne concernée a, en principe, le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement. Il appartient à la juridiction de renvoi d’examiner s’il existe, à titre exceptionnel, des motifs légitimes impérieux pour le traitement.
3. Sur le recours à un code de conduite au sens de l’article 40 du RGPD afin de prévoir des délais de contrôle et d’effacement qui vont au-delà des délais de conservation prévus pour les registres publics
97. La juridiction de renvoi souhaite également savoir s’il est conforme au droit de l’Union de prévoir, dans un code de conduite au sens de l’article 40 du RGPD, des délais de contrôle et d’effacement qui vont au-delà des délais de conservation prévus pour les registres publics sans qu’il soit nécessaire d’effectuer la mise en balance prévue à l’article 6, paragraphe 1, premier alinéa, sous f), de ce règlement.
98. À cet égard, il convient d’emblée d’observer que, selon la juridiction de renvoi, il n’existe actuellement aucune réglementation nationale fixant les délais d’effacement pour les bases de données tenues par les sociétés fournissant des informations commerciales. Cependant, il semblerait que les parties intéressées perçoivent le code de conduite adopté conjointement par les autorités de contrôle et l’association regroupant les sociétés fournissant des informations commerciales comme une espèce de « base juridique » de nature à légitimer la pratique décrite ci-dessus. Une telle conception me paraît critiquable en droit pour les raisons suivantes.
99. Juridiquement, un tel code de conduite ne représente qu’un engagement volontaire de ceux qui l’ont élaboré et adopté, c’est-à-dire de l’association susmentionnée et de ses membres. De même, le fait que ce code de conduite a été approuvé par une autorité de contrôle signifie uniquement que celle-ci, en tant qu’autorité administrative, se considère liée par ledit code de conduite. Toutefois, il me semble évident qu’il est dépourvu de force obligatoire à l’égard des tiers conformément au principe juridique « pacta tertiis nec nocent nec prosunt ». Dans le cas contraire, non seulement les personnes physiques dont les données font l’objet d’un traitement seraient concernées, mais également les sociétés qui n’ont pas participé à l’élaboration d’un tel code de conduite.
100. Par définition, un code de conduite n’a pas de valeur normative dans un ordre juridique, mais vise plutôt à préciser les dispositions d’un acte normatif afin de faciliter son application. Cette interprétation est étayée par les paragraphes 1 et 2 de l’article 40 du RGPD, dont il ressort que les codes de conduite à élaborer par les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants sont destinés, d’une part, « à contribuer à la bonne application » et, de l’autre, à « préciser les modalités d’application » de ce règlement (mise en italique par mes soins). Dès lors, dans la mesure où la fonction du code de conduite en cause se limite à assurer la bonne application du RGPD dans un secteur déterminé, il ne peut pas constituer, à lui seul, le fondement juridique justifiant un traitement de données à caractère personnel (48).
101. Le fondement juridique justifiant un tel traitement ne peut se trouver qu’à l’article 6 du RGPD ou, s’il existe une clause d’ouverture applicable, dans le droit national. J’ai déjà indiqué dans les présentes conclusions que l’article 6 du RGPD prévoit une liste exhaustive et limitative des cas dans lesquels un traitement des données à caractère personnel peut être considéré comme licite (49). Par conséquent, les règles du code de conduite ne pourraient pas avoir pour effet d’élargir cette liste sans enfreindre dans le même temps le droit de l’Union.
102. Or il me semble que tel est précisément le cas lorsque, comme en l’espèce, ces règles imposent aux sociétés fournissant des informations commerciales l’obligation de conserver les données des personnes concernées pour une durée de trois ans, c’est-à-dire pour une période de temps prolongée qui ne peut pas être justifiée au regard des principes régissant le traitement des données à caractère personnel consacrés dans le RGPD. Plus spécifiquement, comme je l’ai montré dans le cadre de mon analyse, la conservation de ces données ne saurait être considérée comme licite sur la base de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD pour la période qui suit l’effacement des données à caractère personnel, relatives à une insolvabilité, des registres publics (50).
103. Il convient donc de retenir, à ce stade de l’analyse, que des codes de conduite qui conduiraient à un résultat différent de celui qui aurait été obtenu en application de l’article 6, paragraphe 1, premier alinéa, sous f), du RGPD ne pourraient pas être pris en considération dans la mise en balance effectuée en vertu de cette disposition. En tant que « responsable[s] du traitement » au sens de l’article 4, point 7, du RGPD, les sociétés fournissant des informations commerciales ne peuvent pas se retrancher derrière les règles du code de conduite qu’elles ont élaboré elles-mêmes pour s’affranchir valablement de leurs obligations découlant de ce règlement.
104. Eu égard aux considérations qui précèdent, je considère que l’article 40, paragraphes 2 et 5, du RGPD doit être interprété en ce sens que des codes de conduite élaborés conformément à ces dispositions et éventuellement approuvés par l’autorité de contrôle ne peuvent pas fixer de manière juridiquement obligatoire les conditions d’un traitement licite de données à caractère personnel qui diffèrent de celles définies à l’article 6, paragraphe 1, du RGPD.
VI. Conclusion
105. Au vu des considérations qui précèdent, je propose à la Cour de répondre comme suit aux questions préjudicielles posées par le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne) :
1) L’article 78, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),
doit être interprété en ce sens que :
il résulte de cette disposition qu’une décision juridiquement contraignante d’une autorité de contrôle est soumise à un contrôle juridictionnel entier sur le fond.
2) L’article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679,
doit être interprété en ce sens que :
il s’oppose à la conservation, par une société privée fournissant des informations commerciales, de données à caractère personnel provenant d’un registre public tel que les « bases de données nationales », au sens de l’article 79, paragraphes 4 et 5, du règlement (UE) 2015/848 du Parlement européen et du Conseil, du 20 mai 2015, relatif aux procédures d’insolvabilité, pendant une période allant au-delà de celle durant laquelle les données sont conservées dans le registre public. Il appartient à la juridiction de renvoi de vérifier si la conservation des données pendant la période autorisée pour le registre public remplit les conditions de l’article 6, paragraphe 1, premier alinéa, sous f), du règlement 2016/679.
3) L’article 17, paragraphe 1, sous d), du règlement 2016/679,
doit être interprété en ce sens que :
la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsque ces données ont fait l’objet d’un traitement illicite conformément à l’article 6, paragraphe 1, de ce règlement.
L’article 17, paragraphe 1, sous c), du règlement 2016/679,
doit être interprété en ce sens que :
la personne concernée a, en principe, le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données à caractère personnel la concernant lorsqu’elle s’oppose au traitement conformément à l’article 21, paragraphe 1, de ce règlement. Il appartient à la juridiction de renvoi d’examiner s’il existe, à titre exceptionnel, des motifs légitimes impérieux pour le traitement.
4) L’article 40, paragraphes 2 et 5, du règlement 2016/679,
doit être interprété en ce sens que :
des codes de conduite, élaborés conformément à ces dispositions et éventuellement approuvés par l’autorité de contrôle, ne peuvent pas fixer de manière juridiquement obligatoire les conditions d’un traitement licite de données à caractère personnel qui diffèrent de celles définies à l’article 6, paragraphe 1, de ce règlement.