CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. MANUEL CAMPOS SÁNCHEZ‑BORDONA

présentées le 20 mars 2025 (1)

Affaire C655/23

IP

contre

Quirin Privatbank AG

[demande de décision préjudicielle formée par le Bundesgerichtshof (Cour fédérale de justice, Allemagne)]

« Renvoi préjudiciel – Protection des données à caractère personnel – Règlement (UE) 2016/679 – Article 5, paragraphe 1, sous a) – Article 6, paragraphe 1 – Article 17 – Article 18 – Article 79, paragraphe 1 – Article 82, paragraphe 1 – Droit d’exiger l’absence de répétition d’un traitement illicite – Droit à réparation – Préjudice moral – Évaluation »






1.        Le litige à l’origine du présent renvoi préjudiciel porte, en substance, sur le point de savoir si une personne a le droit d’exiger que le responsable du traitement de ses données à caractère personnel s’abstienne, à l’avenir, de reproduire un comportement contraire aux dispositions du règlement (UE) 2016/679 (2). Cette même personne entend, en outre, que le responsable du traitement soit condamné à l’indemniser de son préjudice moral résultant de la violation du RGPD déjà commise.

2.        La Cour s’est prononcée sur l’interprétation du RGPD en ce qui concerne la réparation du préjudice (3) ainsi que s’agissant des actions en cessation de traitements illicites de données à caractère personnel (4). Toutefois, elle ne s’est pas encore penchée sur certains des problèmes spécifiques soulevés par le présent renvoi préjudiciel.

I.      Le cadre juridique

A.      Le droit de l’Union : le RGPD

3.        L’article 4 du RGPD, intitulé « Définitions », dispose :

« Aux fins du présent règlement, on entend par :

[...]

2)      “traitement”, toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la [...] limitation, l’effacement ou la destruction ;

3)      “limitation du traitement”, le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ;

[...] »

4.        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », est libellé comme suit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui‑ci est respecté (responsabilité) ».

5.        L’article 6 du RGPD, intitulé « Licéité du traitement », indique à son paragraphe 1 :

« Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :

a)      la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

[...] »

6.        Conformément à l’article 17 du RGPD, intitulé « Droit à l’effacement (“droit à l’oubli”) » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

[...]

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

[...] »

7.        L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », prévoit :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

[...]

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

[...] »

8.        En vertu de l’article 79, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », paragraphe 1, du RGPD :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

9.        L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité », prévoit à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous‑traitant réparation du préjudice subi. »

10.      L’article 84 du RGPD, intitulé « Sanctions », énonce à son paragraphe 1 :

« Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

B.      Le droit allemand : le code civil

11.      L’article 823 du Bürgerliches Gesetzbuch (5), intitulé « Obligation de réparer le préjudice », énonce :

« (1)      Quiconque, agissant intentionnellement ou par négligence, porte atteinte de manière illicite à la vie, au corps, à la santé, à la liberté, à la propriété ou à tout autre droit d’autrui est tenu à l’égard de celui‑ci de réparer le préjudice qui en résulte.

(2)      La même obligation vise celui qui contrevient à une loi visant à protéger autrui. Lorsque la violation de la loi, eu égard à son contenu, n’implique pas nécessairement de faute, une indemnisation n’est due que si une faute a été commise ».

12.      L’article 1004 du code civil, intitulé « Droit à cessation ou abstention de la part d’autrui », prévoit à son paragraphe 1 :

« Si l’atteinte à la propriété résulte d’une cause autre que la dépossession ou la rétention, le propriétaire peut exiger de l’auteur du trouble qu’il cesse les agissements en question. Si une nouvelle atteinte à la propriété est à craindre, le propriétaire peut engager une action en abstention. » (6).

II.    Les faits à l’origine du litige, la procédure au principal et les questions préjudicielles

13.      Les faits, ainsi qu’ils sont présentés dans la décision de renvoi, sont les suivants :

–        IP a postulé à une procédure de recrutement auprès de la banque Quirin Privatbank AG (ci‑après « Quirin »), qui s’est déroulée au moyen du portail en ligne Xing ;

–        le 23 octobre 2018, dans le cadre de cette procédure de recrutement, une employée de Quirin a, au moyen du service de messagerie du portail Xing, envoyé à une tierce personne non concernée par cette procédure de recrutement un message qui était destiné uniquement à IP et qui avait le contenu suivant : « Cher Monsieur [IP], j’espère que vous allez bien ! Notre responsable – M. R – est très intéressé par votre profil de commercial. Cependant, nous ne pouvons pas satisfaire à vos prétentions salariales. Nous pouvons vous faire une offre de 80 000, plus une rémunération variable. Dans ces conditions, seriez‑vous toujours intéressé ? Dans l’attente d’une réponse de votre part [...], Bien cordialement [...] » ;

–        le tiers destinataire du message a transmis ce dernier à IP, qu’il connaissait pour avoir travaillé avec lui auparavant dans la même holding, et lui a demandé si le message lui était destiné et s’il était à la recherche d’un emploi.

14.      IP a formé un recours devant le Landgericht (tribunal régional, Allemagne) afin que Quirin soit condamnée à s’abstenir, à l’avenir, de procéder, par elle‑même ou par l’intermédiaire de tiers, à un traitement des données à caractère personnel le concernant en rapport avec sa candidature, « dès lors que le traitement en question consisterait à faire se reproduire ce qu’il s’est passé avec l’envoi du message via le portail Xing [...] le 23 octobre 2018 ». Il a également demandé des dommages‑intérêts d’au moins 2 500 euros au titre du préjudice moral (7).

15.      Le Landgericht (tribunal régional) a fait partiellement droit au recours en ce qu’il a condamné Quirin à l’abstention demandée par IP et à verser à ce dernier des dommages‑intérêts d’un montant de 1 000 euros, majoré des intérêts.

16.      Quirin a formé un appel contre le jugement de première instance devant l’Oberlandesgericht (tribunal régional supérieur, Allemagne), lequel n’y a fait droit que partiellement en ce qu’il a infirmé l’octroi de dommages‑intérêts et rejeté le recours pour le surplus.

17.      Selon la juridiction d’appel :

–        en vertu de l’article 17, paragraphe 1, du RGPD, IP a le droit à ce que Quirin s’abstienne de traiter ses données à caractère personnel, dans la mesure où le traitement serait réalisé de la même manière que dans le cas du message du 23 octobre 2018. Elle a considéré que, à cet égard, le risque de récidive était présent ;

–        IP n’avait pas droit à des dommages‑intérêts en vertu de l’article 82 du RGPD, car il n’avait pas démontré avoir subi un préjudice.

18.      IP conteste cet arrêt par son pourvoi en Revision et poursuit l’intégralité de ses prétentions. Pour sa part, dans son pourvoi en Revision, Quirin demande le rejet total du recours.

19.      Dans ce contexte, le Bundesgerichtshof (Cour fédérale de justice, Allemagne) a posé six questions préjudicielles à la Cour, dont je reproduis les première, deuxième, troisième et sixième (8), lesquelles sont formulées en ces termes :

« 1)      a)      L’article 17 du RGPD doit‑il être interprété en ce sens que la personne concernée, dont les données à caractère personnel ont fait l’objet d’une communication par transmission illicite de la part du responsable du traitement, peut exiger de ce dernier qu’il s’abstienne de toute nouvelle transmission illicite, si elle ne lui demande pas de les effacer ?

b)      Un tel droit peut‑il (également) résulter de l’article 18 du RGPD ou de toute autre disposition dudit RGPD ?

2)      En cas de réponse affirmative aux questions 1a), ou 1b), ou aux deux :

a)      Le droit de l’Union ne confère‑t‑il à la personne concernée le droit d’exiger de l’auteur d’une violation des droits qu’elle tire du RGPD qu’il s’abstienne de commettre toute nouvelle violation de ces droits que si de nouvelles violations sont à craindre (risque de récidive) ?

b)      L’existence d’un risque de récidive est‑elle, le cas échéant, présumée en raison de la précédente violation du RGPD ?

3)      En cas de réponse négative aux questions 1a) et 1b) :

Les dispositions combinées des articles 84 et 79 du RGPD doivent‑elles être interprétées en ce sens qu’elles permettent au juge national de reconnaître à la personne concernée dont les données à caractère personnel ont fait l’objet d’une communication par transmission illicite de la part du responsable du traitement, outre la réparation du dommage matériel ou moral en vertu de l’article 82 du RGPD et les droits découlant des articles 17 et 18 du RGPD, le droit d’exiger du responsable du traitement qu’il s’abstienne de toute nouvelle transmission illicite de ces données, sur le fondement des dispositions du droit national ?

[...]

6)      En cas de réponse affirmative aux questions 1a), 1b) ou 3 :

L’article 82, paragraphe 1, du RGPD doit‑il être interprété en ce sens que le fait que la personne concernée, parallèlement à son droit à réparation, puisse exiger de l’auteur de la violation qu’il s’abstienne de commettre toute nouvelle violation peut être pris en compte pour réduire le montant du dommage moral indemnisable lors de son évaluation ? »

III. La procédure devant la Cour

20.      La demande de décision préjudicielle a été enregistrée au greffe de la Cour le 7 novembre 2023.

21.      IP, Quirin et la Commission européenne ont présenté des observations écrites. La tenue d’une audience n’a pas été jugée nécessaire.

IV.    Analyse

22.      À la demande de la Cour, les présentes conclusions se limiteront aux première, deuxième, troisième et sixième questions préjudicielles.

A.      Sur la première question préjudicielle

23.      La juridiction de renvoi souhaite savoir si, lorsqu’un traitement de données à caractère personnel illicite au sens du RGPD a été opéré, la personne concernée peut, sur le fondement de l’article 17, de l’article 18 ou de toute autre disposition du RGPD, exiger du responsable du traitement qu’il s’abstienne (Anspruch auf Unterlassung) « de toute nouvelle transmission illicite, si elle ne lui demande pas [d’effacer ces données] ».

24.      Les doutes de la juridiction de renvoi semblent découler des différents points de vue exprimés dans la doctrine et la jurisprudence allemandes sur le (prétendu) droit d’exiger, par voie judiciaire, que le responsable du traitement s’abstienne, à l’avenir, de certains traitements illicites de données à caractère personnel, semblables à ceux déjà effectués auparavant.

25.      L’absence de reconnaissance explicite dudit droit dans le RGPD serait à l’origine de ce débat. Une telle omission signifierait, pour certains, qu’un tel droit n’existe pas dans le RGPD lui‑même, alors que, pour d’autres, il pourrait être déduit de l’article 17 ou de l’article 18 de ce règlement (9).

26.      Parmi les partisans de la première position, il existe en outre une autre divergence de vues. Selon certains, le RGPD établit un système fermé, qui empêcherait d’invoquer le droit national pour étayer la demande d’abstention. D’autres, à l’instar de la juridiction de première instance en l’espèce, soutiennent la thèse inverse.

27.      Certes, le RGPD ne prévoit pas explicitement un droit de la personne concernée à ce que le responsable d’un traitement illicite s’abstienne de le reproduire. Cependant, aux fins d’interpréter une disposition du droit de l’Union, il y a lieu de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie et, éventuellement, de sa genèse (10).

28.      Dans les développements qui suivent, je procéderai à l’analyse de la première question préjudicielle à la lumière de ces critères herméneutiques.

1.      Droit d’exiger l’absence de réitération d’un traitement illicite

29.      À l’instar de la Commission (11), je considère que le droit de la personne concernée d’exiger (du responsable du traitement de ses données à caractère personnel) l’absence de réitération d’un traitement illicite, lorsqu’un tel traitement a déjà eu lieu auparavant, peut être déduit du RGPD lui‑même et, en particulier, de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, de ce règlement, lus conjointement avec son article 79, paragraphe 1.

30.      Je comprends les réserves que ce point de vue peut susciter, puisque les articles 5 et 6 du RGPD figurent dans le chapitre II (intitulé « Principes ») de ce règlement et non pas dans son chapitre III spécifiquement consacré aux « [d]roits de la personne concernée ». De prime abord, on pourrait considérer que le catalogue des droits de la personne concernée protégés par le RGPD se limite aux droits énumérés au chapitre III de ce règlement.

31.      Toutefois, ces réserves ne me semblent pas insurmontables.

32.      Sous l’intitulé « Principes », le chapitre II du RGPD ne se limite pas à des déclarations programmatiques ou simplement utiles pour l’interprétation d’autres règles. Au contraire, ce chapitre établit des obligations légales pour tous les destinataires du RGPD. Ces obligations ont, en toute logique, pour contrepartie soit des intérêts subjectifs qui méritent d’être protégés, soit, selon le cas, de véritables droits des personnes concernées (12).

33.      L’article 5, paragraphe 1, du RGPD énonce des principes obligatoires et directement contraignants (13). Le paragraphe 2 de cet article confirme le caractère normatif de ces principes, en ce qu’il traduit le « respect du paragraphe 1 » en un devoir matériel imposé spécifiquement au responsable du traitement (14). En outre, la violation des « principes de base d’un traitement » est passible d’amendes (15).

34.      Situé plus haut dans la hiérarchie des normes, l’article 8 de la charte des droits fondamentaux de l’Union européenne, après avoir proclamé le droit à la protection des données à caractère personnel, exige, à son paragraphe 2, que le traitement de ces données remplisse certaines conditions (« [c]es données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi ») qui en garantissent la licéité.

35.      La violation, par le responsable du traitement, de l’un des principes énoncés aux articles 5 et 6 du RGPD a pour conséquence que ce traitement est illicite. De même, un traitement illicite de données à caractère personnel porte atteinte au droit à la protection des données à caractère personnel.

36.      Je ne veux pas dire par là que toute violation des règles du RGPD entraîne, automatiquement, l’illicéité du traitement des données à caractère personnel (16). Toutefois, lorsque le non‑respect du RGPD est d’une ampleur telle qu’il porte atteinte, en lui‑même, aux principes directeurs du traitement, l’illicéité de ce dernier implique, je le répète, la violation du droit à la protection des données à caractère personnel.

37.      En ce qui concerne le principe de licéité du traitement, la Cour :

–        a reconnu son caractère obligatoire, en ce qu’elle a constamment rappelé que tout traitement de données à caractère personnel doit être conforme au principe de licéité (17) ;

–        a souligné la « portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1, dudit règlement » (18). Cette portée est précisée aux articles 7 à 11 du RGPD, dispositions que le traitement des données à caractère personnel, afin d’être licite, doit également respecter (19).

38.      Il existe donc, en tant que contrepartie immédiate des exigences prévues à l’article 5, paragraphe 1, sous a), et à l’article 6, paragraphe 1, du RGPD, un droit de la personne concernée à ce que tout traitement de ses données à caractère personnel soit licite. À mon sens, il s’agit là de la prémisse dont il convient de partir, bien que ce droit n’apparaisse pas explicitement dans le chapitre III du RGPD.

39.      En effet, si le chapitre III du RGPD, consacré aux droits de la personne concernée, ne contient pas, en tant que telle, la reconnaissance du droit à ce que le traitement des données personnelles de cette personne soit licite, cela est dû au fait qu’une telle reconnaissance expresse n’est pas nécessaire ; la lecture des articles 5 et 6 du RGPD suffit pour conclure que ce droit est présumé.

40.      Il n’était pas nécessaire, je le répète, de rendre explicite dans le RGPD, en sus de ce qui est déjà énoncé à son article 5, un droit à ce que tout traitement de données à caractère personnel repose sur un fondement légitime (20). Dans un souci d’uniformité et pour la sécurité juridique de tous les intéressés, il suffisait de préciser et de décrire ces fondements dans le RGPD lui‑même.

41.      De surcroît, je ne suis pas certain que les droits de la personne concernée soient uniquement ceux précisés au chapitre III du RGPD. Dans ce règlement, on peut trouver d’autres droits dont l’exercice doit être facilité, en premier lieu, par le responsable du traitement (21). Par exemple, le droit de retirer le consentement est prévu à l’article 7, paragraphe 3, du RGPD, qui ne figure pas en tant que tel au chapitre III de ce règlement.

42.      À mon sens, le droit de la personne concernée d’exiger du responsable du traitement qu’il ne réitère pas un traitement illicite, analogue à celui effectué auparavant, peut être considéré comme étant le corollaire du droit de cette personne concernée à ce que tout traitement de ses données à caractère personnel soit licite.

43.      Ce droit (jus) est assorti d’un mécanisme de réaction judiciaire (actio) indispensable aux fins du RGPD et qui est visé à l’article 79 de ce règlement. S’il en était autrement, la protection juridique des données à caractère personnel serait imparfaite.

44.      Reconnaître à la personne concernée le droit d’exiger (le cas échéant devant un juge) l’absence de répétition d’un traitement illicite de ses données relève de l’objectif, énoncé au considérant 10 du RGPD, d’assurer un niveau élevé de protection des personnes physiques à l’égard du traitement de leurs données à caractère personnel dans l’Union. Le considérant 11 de ce règlement indique, en outre, qu’une protection effective des données à caractère personnel exige de renforcer les droits des personnes concernées (22).

45.      Parmi les pouvoirs de l’autorité de contrôle prévus à l’article 58, paragraphe 2, sous d) et f), du RGPD figurent, respectivement, celui d’ordonner que les opérations de traitement soient mises en conformité avec le RGPD de manière spécifique et celui d’imposer des limitations temporaires ou définitives à des traitements de données, y compris de les interdire. Une réclamation de la personne concernée en vertu de l’article 77, paragraphe 1, du RGPD peut déclencher la mise en œuvre de telles actions.

46.      L’attribution de ces pouvoirs à l’autorité de contrôle est pleinement compatible avec la possibilité pour la personne concernée de saisir une juridiction, si elle l’estime opportun, afin d’obtenir une protection effective de ses droits lésés. À cette fin, la personne concernée peut intenter une action judiciaire contre le responsable du traitement, au titre de l’article 79, paragraphe 1, du RGPD (23). Rien ne s’oppose à ce que, parmi les prétentions formulées dans le cadre de cette action, figure une demande visant à ce qu’il soit ordonné au responsable du traitement de ne pas réitérer un traitement illicite.

47.      À la lumière de ce qui précède, j’estime que la personne concernée dispose à la fois du droit (jus) à ce que le responsable du traitement s’abstienne de réitérer un traitement illicite au regard du RGPD et de la possibilité de saisir une juridiction (actio) afin que cette dernière impose à ce responsable ledit devoir d’abstention.

48.      Une demande en ce sens de la personne concernée est conforme au contenu caractéristique de l’article 79, paragraphe 1, du RGPD, ce qui signifie qu’elle peut faire partie des mécanismes de protection juridictionnelle effective que ce règlement ouvre à cette personne (24). Il convient de tenir compte du fait que la réparation, en tant que remède aux dommages déjà causés par la violation du RGPD, est spécifiquement régie par l’article 82 de ce règlement et que sa fonction est « exclusivement compensatoire », et non dissuasive ou punitive (25).

49.      Contrairement à la thèse que je préconise, Quirin fait valoir (26) que, au cours du processus d’élaboration du RGPD, une proposition de la Commission selon laquelle « [l]es États membres veillent à ce que les voies de recours disponibles dans le droit national permettent l’adoption rapide de mesures, y compris par voie de référé, visant à mettre un terme à toute violation alléguée et à prévenir toute nouvelle atteinte aux intérêts concernés » n’a en fin de compte pas été adoptée (27).

50.      La disparition de ce paragraphe lors de son examen par le Conseil de l’Union européenne ne me semble toutefois indiquer ni une intention du législateur de ne « pas intégrer de tels droits à l’adoption de mesures d’urgence ou à la prévention de dommages supplémentaires dans la version finale du RGPD » (28), ni un oubli (29). Je crois plutôt que les modifications apportées à la proposition de la Commission sur ce point reflètent la volonté que l’ensemble du chapitre VIII initial (intitulé « Recours, responsabilité et sanctions ») ait une structure plus correcte.

51.      En effet, sous leurs intitulés respectifs (« Droit à un recours juridictionnel contre un responsable du traitement ou un sous‑traitant » et « Règles communes pour les procédures juridictionnelles »), les articles 75 et 76 de la proposition régissaient une pluralité de cas de figure dépourvus de toute cohésion (30). Dans la nouvelle structure du chapitre, le droit à la protection juridictionnelle des droits de la personne concernée a été repris à l’article 79 du RGPD, qui, ainsi que l’on peut logiquement le supposer, couvre, en tant qu’expressions caractéristiques d’un recours effectif (31), les actions visant à empêcher la réitération d’un traitement illicite de données à caractère personnel.

2.      Possibilité de déduire des articles 17 ou 18 du RGPD un droit d’exiger l’absence de réitération d’un traitement illicite

52.      La juridiction de renvoi formule sa première question préjudicielle en faisant référence aux articles 17 et 18 ou à « toute autre disposition [du] RGPD » en tant que fondements potentiels du droit de la personne concernée d’exiger du responsable du traitement qu’il s’abstienne de réitérer une transmission illicite des données à caractère personnel la concernant.

53.      Pour ma part, ainsi que je l’ai précédemment indiqué dans les présentes conclusions, je considère que ce fondement se trouve dans les articles 5 et 6 du RGPD, lus en combinaison avec l’article 79 de ce règlement ; il n’est donc pas nécessaire d’examiner l’incidence des articles 17 et 18 dudit règlement sur ce point.

54.      Toutefois, dans un souci d’exhaustivité, je me pencherai, dans les développements qui suivent, sur ces deux dispositions. J’indiquerai les raisons qui, à mon sens, s’opposent à la déduction d’un tel droit à partir :

–        de l’article 17 du RGPD, lorsque la personne concernée ne demande pas l’effacement des données qui ont fait l’objet du traitement illicite (32), ou

–        de l’article 18 du RGPD, en particulier son paragraphe 1, sous b) (33).

55.      De manière générale (34), la personne concernée jouit, à l’égard du responsable du traitement, tant du droit à l’effacement des données à caractère personnel ayant fait l’objet d’un traitement illicite [article 17, paragraphe 1, sous d), du RGPD] que du droit à la limitation du traitement [article 18, paragraphe 1, sous b), du RGPD] lorsque celui‑ci est illicite et que la personne concernée, s’opposant à l’effacement des données, exige à la place une telle limitation.

56.      À mon sens, aucune de ces deux dispositions n’est, en soi, suffisante pour fonder le droit de la personne concernée à ce que le responsable du traitement s’abstienne de réitérer un traitement illicite (semblable à celui déjà effectué) :

–        l’obtention, en vertu de l’article 17, paragraphe 1, sous d), du RGPD, de l’effacement des données à caractère personnel ayant fait l’objet d’un traitement illicite éviterait qu’un tel traitement soit répété, mais empêcherait également tout autre traitement (35), ce qui se ferait, parfois, au détriment de tous les intéressés (36) ;

–        la limitation du traitement des données en vertu de l’article 18, paragraphe 1, sous b), du RGPD ne constitue pas une mesure qui assure une protection suffisante contre un traitement illicite. Au moyen de cette mesure (assortie de conditions), il est procédé, à la demande de la personne concernée, à la suspension de l’obligation qui pèse sur le responsable du traitement d’effacer les données au motif, précisément, que le traitement est illicite.

57.      Le libellé de l’article 17 du RGPD prévoit le droit à l’effacement des données à caractère personnel et le droit à l’oubli. À son paragraphe 1, cet article établit le droit de la personne concernée d’obtenir l’effacement de données à caractère personnel la concernant ainsi que les motifs pour lesquels ce droit peut être exercé (37). Lorsque l’un de ces motifs s’applique, le responsable du traitement doit effacer les données « dans les meilleurs délais ».

58.      Interpréter l’article 17 de manière à y inclure une demande de la personne concernée autre que l’effacement des données à caractère personnel traitées irait à l’encontre des termes de cette disposition et serait sans rapport avec son objet.

59.      Cette interprétation se heurte également à des difficultés tenant à la structure du chapitre III du RGPD : au sein de celui‑ci, d’autres articles prévoient le droit de limiter le traitement des données sans effacer celles-ci (38). Considérer que l’article 17 répond également à cette finalité risquerait de priver ces autres articles de leur effet utile.

60.      Cette interprétation étant dès lors exclue, il ne me semble pas logique de déduire de l’article 17 du RGPD un droit d’obtenir que le responsable du traitement détenteur des données s’abstienne, à l’avenir, de réaliser un traitement spécifique de celles‑ci. Par définition, si le responsable du traitement obéit à l’ordre d’effacer les données, il ne dispose plus de ces dernières et ne peut plus, de fait, les traiter (39).

61.      L’article 18 du RGPD ne protège pas non plus le droit de la personne concernée à ce que le responsable du traitement s’abstienne de réitérer un traitement illicite de ses données à caractère personnel, analogue à celui déjà effectué.

62.      Sous l’intitulé « Droit à la limitation du traitement », l’article 18 du RGPD confère à la personne concernée des pouvoirs alternatifs à celui d’exiger l’effacement de ses données à caractère personnel. Il s’agit de pouvoirs qui lui sont attribués avec un contenu précis, sous certaines conditions et pour une durée limitée. L’article 18 du RGPD permet également à la personne concernée de s’opposer à l’effacement de ces données.

63.      L’objectif de l’article 18 du RGPD est de concilier les intérêts de la personne dont les données font l’objet d’un traitement et ceux du responsable de celui‑ci, en cas de désaccord entre eux sur le point de savoir si ces données à caractère personnel doivent être rectifiées [paragraphe 1, sous a)] ou supprimées [paragraphe 1, sous b) et c)], ou sur l’intérêt qui prévaut en cas d’opposition de la personne concernée à un traitement en vertu de l’article 21, paragraphe 1, du RGPD [paragraphe 1, sous d)].

64.      L’exercice du droit à la limitation du traitement a pour conséquence que les « données faisant l’objet d’une limitation » ne sont ni rectifiées ni effacées (40), mais que le seul traitement possible se limite à leur conservation (41), c’est‑à‑dire à leur stockage (42). Or, cette conservation est, en réalité, non pas une concession faite au responsable du traitement, mais une obligation pour celui‑ci (43), laquelle s’accompagne d’une seconde obligation de prendre les mesures appropriées afin de garantir la première (44).

65.      La limitation du traitement au titre de l’article 18 du RGPD est temporaire ; sa durée est subordonnée à la réalisation de l’objectif pour lequel la personne concernée exerce son droit de limiter le traitement. Le caractère temporaire ne fait aucun doute dans les situations décrites à l’article 18, paragraphe 1, sous a) (45), c) (46) et d) (47), du RGPD, et il ressort également, à mon sens, de celle prévue au point b).

66.      En effet, l’article 18, paragraphe 1, sous b), du RGPD, dont le sens et la portée manquent certes de clarté (48), doit être interprété dans son contexte, à savoir en cohérence avec le reste de l’article 18, paragraphe 1, de ce règlement (49). Dans ce cadre, l’article 18, paragraphe 1, sous b), du RGPD va de pair avec l’article 18, paragraphe 1, sous c), de ce règlement, relatif à un traitement licite arrivé à son terme. Dans ce dernier cas, tout comme dans celui d’un traitement illicite, il n’est pas justifié que le responsable du traitement conserve les données au‑delà de la durée nécessaire (50). Le fait de l’y contraindre, sur la base de l’opposition à l’effacement de ces données formulée par la personne concernée, ne peut être qu’une situation provisoire.

67.      Pour des raisons tenant également à la structure des règles, l’absence, à l’article 18, paragraphe 1, sous b), du RGPD, de toute référence aux motifs invoqués par la personne concernée pour s’opposer à l’effacement de ses données (et pour exiger, à la place, la limitation de leur utilisation) ne doit pas être interprétée comme une admission automatique de n’importe quel motif, et encore moins comme l’admission de ce qu’aucun motif n’est nécessaire. Au contraire, le droit de demander la limitation du traitement au titre de l’article 18, paragraphe 1, sous b), du RGPD doit répondre à un objectif fondé et légitime (51).

68.      La conservation des données à caractère personnel représente une charge pour le responsable du traitement, laquelle n’est pas exempte de risques, de sorte qu’elle ne devrait lui être imposée que pour un certain temps, dans les cas où l’effacement de ces données porterait préjudice aux intérêts légitimes de la personne concernée.

69.      Je considère donc qu’il ne saurait non plus être déduit de l’article 18, paragraphe 1, sous b), du RGPD un droit de la personne concernée à ce que le responsable du traitement s’abstienne de répéter un traitement illicite de ses données à caractère personnel. Cette disposition vise à empêcher, temporairement et pour répondre à des motifs légitimes propres à la personne concernée, que le responsable du traitement exécute l’obligation légale qui lui incombe du fait de l’illicéité du traitement, en supprimant sans délai les données à caractère personnel concernées.

B.      Sur la troisième question préjudicielle

70.      La troisième question préjudicielle est posée dans l’hypothèse où une réponse négative serait apportée à la première question préjudicielle. Étant donné, selon moi, que les articles 5, 6 et 79 du RGPD, interprétés dans le sens que j’ai indiqué, constituent un fondement suffisant pour justifier le droit de la personne concernée d’exiger du responsable du traitement qu’il s’abstienne de toute nouvelle transmission illicite de ses données à caractère personnel, il n’est pas nécessaire d’examiner s’il serait possible de parvenir à la même solution sur le fondement des dispositions du droit national.

C.      Sur la deuxième question préjudicielle

71.      La deuxième question préjudicielle repose sur la prémisse selon laquelle le RGPD confère à la personne concernée le droit à ce que le responsable du traitement s’abstienne d’effectuer un traitement illicite des données à caractère personnel, semblable à celui qui a déjà été effectué auparavant.

72.      Sur la base de cette prémisse, la juridiction de renvoi souhaite savoir si ce droit dépend de l’existence d’un risque de récidive et, dans l’affirmative, si ce risque est « présum[é] [...] en raison de la précédente violation du RGPD ».

73.      Dans la mesure où le RGPD ne définit pas le régime des actions en abstention visant à prévenir la réitération du traitement illicite des données à caractère personnel, il appartient à chaque État membre, en vertu du principe de l’autonomie procédurale, d’encadrer ces actions.

74.      Le régime de ces actions ne doit pas être moins favorable que celui applicable aux recours similaires prévus pour la protection des droits tirés de l’ordre juridique interne (principe d’équivalence) ni rendre en pratique impossible ou excessivement difficile l’exercice des droits conférés par l’ordre juridique de l’Union (principe d’effectivité) (52).

75.      Il ne ressort pas des informations fournies dans la décision de renvoi que les règles nationales relatives à l’exercice d’une action visant à éviter la réitération d’un traitement illicite de données à caractère personnel méconnaissent ces deux principes :

–        à première vue, ces règles sont les mêmes que celles énoncées par le droit national pour des situations similaires. Ainsi, la protection des droits conférés aux justiciables par l’ordre juridique de l’Union n’est pas moins favorable que celle prévue pour des droits visés par des dispositions nationales ;

–        ces règles ne semblent pas non plus imposer des charges excessives à la personne concernée qui introduit le recours. Il est vrai que, conformément à la répartition habituelle de la charge de la preuve, la personne concernée (le requérant) doit établir l’existence d’un risque de récidive de la part du responsable du traitement. Rien n’empêche, toutefois, que le requérant bénéficie de la présomption simple selon laquelle un tel risque existe, compte tenu de l’infraction déjà commise. En vertu de cette présomption, qui admet la preuve contraire, l’injonction de s’abstenir de réitérer un traitement illicite serait justifiée, sauf si le responsable du traitement démontrait qu’il n’existe aucun risque de récidive dans le cas d’espèce.

D.      Sur la sixième question préjudicielle

76.      La juridiction de renvoi demande l’interprétation de l’article 82, paragraphe 1, du RGPD, dans l’hypothèse, à nouveau, où il serait considéré que la personne concernée jouit d’un droit d’exiger, par voie judiciaire, l’abstention de tout traitement illicite de ses données à caractère personnel, semblable à celui déjà effectué auparavant.

77.      Elle souhaite notamment savoir si « le fait que la personne concernée, parallèlement à son droit à réparation, puisse exiger de l’auteur de la violation qu’il s’abstienne de commettre toute nouvelle violation, peut être pris en compte pour réduire le montant du dommage moral indemnisable lors de son évaluation ».

78.      À la lecture de l’arrêt du Bundesgerichtshof (Cour fédérale de justice) cité dans la décision de renvoi (53), je comprends que, en Allemagne, la réparation pécuniaire (Geldentschädigung) pour le préjudice moral en raison d’une violation des droits généraux de la personne (allgemeine Persönlichkeitsrechte) répond à des fonctions de satisfaction de la victime ainsi que de prévention. Dans ce contexte, une injonction d’abstention émise à des fins préventives pourrait avoir des répercussions sur la réparation, soit en ce qu’elle en influencerait le montant, soit encore en ce qu’elle exclurait cette réparation, dans la mesure où cette injonction assure déjà la protection nécessaire (54).

79.      D’après la juridiction de renvoi, « [d]es interrogations sont permises sur le point de savoir si [...] ces principes peuvent [...] être transposés au droit à réparation du dommage moral prévu à l’article 82, paragraphe 1, du RGPD [...] ».

80.      L’indemnisation des dommages causés par un traitement illicite de données, telle qu’exigée à l’article 82, paragraphe 1, du RGPD, s’inspire d’une conception différente de celle qui ressort de la sixième question préjudicielle. C’est pourquoi, à mon sens, la réponse à cette question doit être négative.

81.      L’indemnisation prévue à l’article 82, paragraphe 1, du RGPD couvre tous les dommages, matériels et moraux, subis du fait d’une violation de ce règlement. La notion de « dommage moral », au sens de cette disposition, doit recevoir une définition autonome et uniforme (55).

82.      La Cour a interprété la notion de « dommage moral » de manière large. Elle a en particulier jugé que « la crainte d’un potentiel usage abusif de ses données à caractère personnel par des tiers qu’une personne concernée éprouve à la suite d’une violation du même règlement est susceptible, à elle seule, de constituer un “dommage moral”, au sens du même article 82, paragraphe 1 » (56).

83.      D’après cette interprétation, l’article 82, paragraphe 1, du RGPD n’opère pas de distinction selon que l’usage abusif par des tiers des données à caractère personnel s’est déjà produit à la date de la demande d’indemnisation, ou que le dommage moral allégué par le requérant est rattaché à la peur ressentie par ce dernier qu’un tel usage se produise à l’avenir (57).

84.      Une fois que la victime démontre qu’elle a effectivement subi un dommage, elle a le droit à une indemnité visant à compenser intégralement ce préjudice (58) quelle que soit son ampleur (59).

85.      Selon une jurisprudence constante de la Cour, la réparation intégrale poursuit un objectif exclusivement compensatoire. Bien que la Cour reconnaisse que le droit à demander réparation d’un préjudice est également de nature à décourager la réitération de comportements illicites, elle considère que la finalité de la réparation prévue à l’article 82 du RGPD n’est pas dissuasive ou punitive (60).

86.      À la lumière de cette jurisprudence, il peut être affirmé que :

–        l’objectif de l’indemnisation demandée ou obtenue au titre de l’article 82 du RGPD ne correspond pas à celui des actions en abstention, lesquelles sont exercées afin que le responsable du traitement ne réitère pas, à l’avenir, un traitement illicite des données semblable à celui déjà effectué ;

–        une injonction de s’abstenir, visant à empêcher la réitération de comportements qui ont causé des dommages, afin d’éviter la survenance de nouveaux dommages, ne répare pas ceux qui ont déjà été subis.

87.      Demander une injonction d’abstention afin qu’un traitement de données contraire au RGPD ne soit pas répété présuppose qu’il existe un certain risque que ce traitement illicite soit réitéré à l’avenir. Si la mesure est adoptée, ce risque sera écarté et il sera difficile, afin de demander efficacement des dommages‑intérêts, de justifier une crainte fondée sur la possibilité de reproduction du traitement illicite. En revanche, l’injonction d’abstention ne répare pas le préjudice moral subi par le passé, avant l’adoption de cette mesure, et lié à cette crainte.

88.      En résumé, lors de la quantification du montant des dommages immatériels résultant d’un traitement illicite et devant être réparés parce qu’ils ont déjà eu lieu, on ne saurait considérer comme une circonstance de nature à réduire ce montant le fait que la personne concernée, outre le droit à l’indemnisation, ait également le droit d’exiger, pour l’avenir, l’abstention de répéter un traitement illicite semblable à celui déjà effectué.

V.      Conclusion

89.      Eu égard à ce qui précède, je propose de répondre aux première, deuxième, troisième et sixième questions préjudicielles posées par le Bundesgerichtshof (Cour fédérale de justice, Allemagne) de la manière suivante :

L’article 5, paragraphe 1, sous a), l’article 6, paragraphe 1, l’article 79, paragraphe 1, et l’article 82, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doivent être interprétés en ce sens que :

–        conformément à l’article 5, paragraphe 1, sous a), et à l’article 6, paragraphe 1, du règlement 2016/679, lus en combinaison avec l’article 79, paragraphe 1, de ce règlement, la personne concernée dont les données à caractère personnel ont été divulguées de manière illicite par le responsable du traitement peut intenter une action tendant à ce que ce dernier s’abstienne, à l’avenir, de procéder à de nouvelles transmissions illicites de données, semblables à celles déjà effectuées ;

–        il appartient à l’ordre juridique interne de régler, dans le respect des principes d’équivalence et d’effectivité, les conditions d’exercice de l’action en abstention dirigée contre le responsable du traitement des données à caractère personnel. Rien ne s’oppose à ce que, dans ce cadre, la preuve du risque de récidive soit exigée et, le cas échéant, à ce qu’une présomption (simple) de l’existence d’un tel risque, découlant d’une violation précédente du règlement 2016/679, soit établie ;

–        conformément à l’article 82, paragraphe 1, du règlement 2016/679, lors de la quantification du montant des dommages immatériels devant être réparés, le fait que la personne concernée, outre le droit à l’indemnisation, ait également le droit d’exiger que le responsable du traitement s’abstienne, à l’avenir, de tout autre traitement illicite semblable à celui déjà effectué ne constitue pas une circonstance de nature à réduire ce montant.

1      Langue originale : l’espagnol.

2      Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1, ci‑après le « RGPD »).

3      En ce qui concerne l’article 82, paragraphe 1, du RGPD, voir, récemment, arrêts du 20 juin 2024, Scalable Capital (C‑182/22 et C‑189/22, ci‑après l’« arrêt Scalable Capital », EU:C:2024:531) ; du 4 octobre 2024, Agentsia po vpisvaniyata (C‑200/23, ci‑après l’« arrêt Agentsia po vpisvaniyata », EU:C:2024:827), et du 4 octobre 2024, Patērētāju tiesību aizsardzības centrs (C‑507/23, ci‑après l’« arrêt Patērētāju tiesību aizsardzības centrs », EU:C:2024:854).

4      Arrêts du 28 avril 2022, Meta Platforms Ireland (C‑319/20, ci‑après l’arrêt « Meta Platforms Ireland », EU:C:2022:322), et du 4 octobre 2024, Lindenapotheke (C‑21/23, EU:C:2024:846). Dans ces affaires était demandée la cessation d’une pratique considérée comme déloyale en ce qu’elle ne respectait pas les conditions légales pour l’obtention du consentement valable de la personne concernée, en vertu du RGPD. Dans les deux cas, les actions en cessation aux fins de la protection des données à caractère personnel étaient fondées sur des règles visant à protéger les consommateurs ou à lutter contre les pratiques commerciales déloyales ; la violation du RGPD correspondait au cas de figure visé par ces règles. Les questions posées à la Cour portaient sur la qualité pour agir des requérants dans les litiges au principal respectifs.

5      Code civil.

6      Au point 10 de la décision de renvoi, il est expliqué que, en l’espèce, cette disposition s’applique par analogie à la violation de droits absolus au sens de l’article 823, paragraphe 1, du BGB, ou à la violation d’une des règles dont la nature est visée à l’article 823, paragraphe 2, de ce code.

7      À l’appui de sa demande de dommages‑intérêts, IP fait valoir que son préjudice moral réside non pas dans la perte abstraite de la maîtrise des données qui ont été divulguées, mais dans le fait qu’au moins une autre personne, qui le connaît lui ainsi que d’anciens ou potentiels employeurs, a désormais connaissance d’informations à caractère confidentiel. IP craint que cette personne, qui travaille dans le même secteur, ait transmis les données contenues dans le message ou qu’elle ait pu, en les connaissant, se positionner de manière avantageuse en tant que concurrent pour d’éventuels postes à pourvoir sur le marché du travail. Le requérant au principal ajoute qu’il ressent le rejet de ses prétentions salariales comme une humiliation qu’il se serait gardé de dévoiler à des tiers, en particulier à des concurrents potentiels.

8      Voir point 22 des présentes conclusions.

9      Voir références citées aux points 21 et 29 de la décision de renvoi.

10      Arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C‑667/21, ci‑après l’« arrêt Krankenversicherung Nordrhein », EU:C:2023:1022, point 37).

11      Observations écrites de la Commission, points 11 et suiv., bien qu’aucune référence expresse à l’article 5 du RGPD n’y figure.

12      Aux termes de son article 1er, paragraphe 2, le RGPD « protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel ». Le RGPD est donc susceptible de créer des obligations en rapport direct avec ces personnes physiques et non pas seulement avec l’intérêt public ou général.

13      Une formule impérative figure, au moins, dans les versions linguistiques suivantes : « [p]ersonenbezogene Daten müssen » (version en langue allemande), « [l]os datos personales serán » (version en langue espagnole), « [l]es données à caractère personnel doivent être » (version en langue française) et « [p]ersonal data shall be » (version en langue anglaise).

14      Aux termes de l’article 5, paragraphe 2, du RGPD, « [l]e responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui‑ci est respecté (responsabilité) ». Pour procéder à cette démonstration, le responsable du traitement doit s’assurer du caractère licite du traitement. Voir arrêt du 4 mai 2023, Bundesrepublik Deutschland (Boîte électronique judiciaire) (C‑60/22, ci-après l’« arrêt Boîte électronique judiciaire », EU:C:2023:373, points 53 et 54).

15      Article 83, paragraphe 5, sous a), du RGPD.

16      Sur la distinction entre les obligations imposées par les articles 26 et 30 du RGPD et celles issues des articles 5 et 6 de ce règlement, voir arrêt Boîte électronique judiciaire, points 59 et suiv.

17      Arrêt Boîte électronique judiciaire, point 57 : « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement ». Voir, également, arrêt du 1er octobre 2015, Bara e.a. (C‑201/14, EU:C:2015:638), concernant le régime antérieur au RGPD, à savoir la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31). L’exigence visant à ce que le traitement soit réalisé de manière licite figurait à l’article 6 de la directive 95/46 parmi les « principes relatifs à la qualité des données » et les fondements de la licéité étaient énoncés à l’article 7 en tant que « principes relatifs à la légitimation des traitements de données ».

18      Arrêt du 21 décembre 2023, Krankenversicherung Nordrhein (C‑667/21, EU:C:2023:1022, point 77 et jurisprudence citée).

19      Arrêt Krankenversicherung Nordrhein, point 77 et jurisprudence citée.

20      Sous l’empire de la directive 95/46, la situation était différente s’agissant d’autres concrétisations des principes du traitement des données à caractère personnel en droits de la personne concernée. Certains droits relatifs à ces principes se trouvaient déjà dans la directive 95/46 et sont précisés par le RGPD, ainsi que cela est expliqué au considérant 9 de ce règlement. D’autres droits ne figuraient pas dans cette directive et leur introduction dans ledit règlement a donné lieu à une résistance, principalement en raison de la nécessité de les mettre en balance avec d’autres droits ; tel a été le cas, notamment, du droit à l’effacement des données à caractère personnel, dans son volet relatif au « droit à l’oubli ».

21      Article 12, paragraphe 2, du RGPD.

22      La Cour a tiré de ces dispositions d’autres conséquences que le RGPD ne prévoit pas expressément : voir, sur la qualité pour agir devant les juridictions civiles sur le fondement du chapitre VIII du RGPD, arrêts Meta Platforms Ireland et du 4 octobre 2024, Lindenapotheke (C‑21/23, EU:C:2024:846).

23      L’article 79, paragraphe 1, du RGPD souligne que le droit à un recours juridictionnel effectif est accordé « sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle [...] ». Voir, également, arrêts Meta Platforms Ireland, point 54, et du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, points 34, 35 et 42).

24      À titre d’argument supplémentaire, je rappelle que, en vertu de l’article 80, paragraphe 2, du RGPD, les États membres peuvent prévoir que certaines entités exercent les droits visés à l’article 79 du RGPD sans mandat des personnes concernées. Les actions de ces entités remplissent souvent une fonction préventive. Considérer que l’article 79, paragraphe 1, de ce règlement n’inclut pas une telle protection priverait cette disposition (et ledit article 80, paragraphe 2, du RGPD) d’une grande partie de son contenu.

25      Arrêts Scalable Capital, point 23 ; Agentsia po vpisvaniyata, point 153, et Patērētāju tiesību aizsardzības centrs, points 40 et suiv. La Cour a reconnu que le droit de toute personne à demander réparation d’un préjudice en vertu de l’article 82 du RGPD « renforce le caractère opérationnel des règles de protection prévues par ce règlement et est de nature à décourager la réitération de comportements illicites » : arrêts du 4 mai 2023, Österreichische Post (Préjudice moral lié au traitement de données personnelles) (C‑300/21, EU:C:2023:370, point 40) ; du 11 avril 2024, juris (C‑741/21, EU:C:2024:288, point 59), et Scalable Capital, point 22. Toutefois, la Cour exclut que la finalité propre de la disposition soit de décourager de futurs traitements illicites.

26      Observations écrites de Quirin, paragraphe 1, in fine.

27      Mise en italique par mes soins. Il s’agissait de l’article 76, paragraphe 5, de la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) [COM(2012) 11 final], qui reprenait l’article 18, paragraphe 1, de la directive 2000/31/CE du Parlement européen et du Conseil, du 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique ») (JO 2000, L 178, p. 1). Le Parlement n’a pas proposé d’amendements sur ce point.

28      Observations écrites de Quirin, paragraphe 1, in fine.

29      Explication alternative proposée puis rejetée par Quirin dans ses observations écrites, paragraphe 1, in fine.

30      L’article 75 régissait la qualité pour agir de la personne concernée, la compétence judiciaire internationale, la concomitance de procédures judiciaires et administratives dans le cadre du mécanisme de contrôle de la cohérence et l’exécution des décisions judiciaires d’autres États membres. Pour sa part, l’article 76 concernait la qualité pour agir tant d’entités qui œuvrent à la sauvegarde des droits et des intérêts des personnes concernées à l’égard de la protection de leurs données à caractère personnel que des autorités de contrôle, la communication entre les juridictions de différents États membres, la concomitance de procédures dans deux États membres ou plus et l’objet des mesures de protection.

31      Ce terme, en revanche, n’apparaissait pas dans la proposition, qui se limitait à faire référence à l’adoption rapide de mesures.

32      Cette précision figure dans la question même de la juridiction de renvoi.

33      Cette précision figure au point 21 de la décision de renvoi.

34      Parfois, l’exercice du droit à l’effacement des données ou du droit à la limitation du traitement n’est pas possible ou ne l’est pas complètement : voir article 17, paragraphe 3 (traitements nécessaires à certaines fins), et article 23 du RGPD. Dans le même ordre d’idées, on trouve l’article 18, paragraphe 2, du RGPD, où il est fait référence au traitement de données dans l’intérêt de personnes autres que la personne concernée ou dans l’intérêt public. En toute logique, il n’est possible d’obtenir ni l’interdiction des traitements autorisés par ces règles ni une injonction de s’abstenir de tels traitements.

35      La conservation, par le responsable du traitement, de données à caractère personnel qu’il doit supprimer est exceptionnelle : voir article 17, paragraphe 3, et considérant 65 du RGPD. En règle générale, l’obligation d’effacer certaines données entraîne également leur destruction.

36      Dans une situation « mixte », dans laquelle des traitements licites et illicites sont en cours sur les mêmes données, le maintien des premiers peut jouer au bénéfice non seulement du responsable de leur traitement, mais également de la personne concernée. Par exemple, en l’espèce, il est raisonnable de supposer que le traitement (licite) des données à caractère personnel d’IP intervient dans l’intérêt de celui‑ci, car sans ce traitement il ne pourrait, en réalité, pas participer à la procédure de recrutement de Quirin.

37      Parmi ces motifs figure le fait que les données à caractère personnel ont fait l’objet d’un traitement illicite : article 17, paragraphe 1, sous d), du RGPD.

38      Tel est le cas de l’article 18 (droit à la limitation du traitement) ou de l’article 21 (droit d’opposition).

39      Voir note en bas de page 35 des présentes conclusions. La proposition de la Commission, à son article 17, paragraphe 1, reconnaissait à la personne concernée le droit « d’obtenir du responsable du traitement l’effacement de données à caractère personnel la concernant » et ajoutait « et la cessation de la diffusion de ces données [...] ». Ce passage a été considéré comme meaningless (dépourvu de signification) par certaines délégations d’États membres, auxquelles la présidence du Conseil s’est ralliée, puisque, une fois les données effacées, leur diffusion n’est plus possible : voir note de la présidence du Conseil au groupe « Protection des données », 16529/12, du 4 décembre 2012, note en bas de page 245. Le paragraphe 8 dudit article 17, aux termes duquel « [l]orsque l’effacement est effectué, le responsable du traitement ne procède à aucun autre traitement de ces données à caractère personnel », a également été jugé superflu : voir note de la présidence du Conseil au groupe « Protection des données », 16529/12, du 4 décembre 2012, note en bas de page 270.

40      De façon limitée dans le temps : voir points suivants des présentes conclusions.

41      Article 18, paragraphe 2, du RGPD. Lorsque le traitement a été limité conformément à l’article 18, paragraphe 1, du RGPD, et jusqu’à ce que la limitation soit levée, tout traitement des données à caractère personnel concernées autre que leur conservation est exceptionnel et dépend de l’existence d’un des motifs prévus audit article 18, paragraphe 2, du RGPD.

42      Un terme équivalent à « stockage » est utilisé dans certaines versions linguistiques du RGPD, telles que les versions en langue anglaise (« storage ») et en langue allemande (« Speicherung »). Pour sa part, la directive 95/46 employait le terme « verrouillage », à son article 12, sous b) ; tel était également le cas de l’article 15, paragraphe 1, sous c), du règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1). Toutes ces notions renvoient à l’idée de « gel » des données à caractère personnel.

43      Cela ressort clairement des cas prévus aux points b) et c).

44      La conservation suppose non seulement que les données soient gardées, mais également des opérations techniques telles que leur marquage (lequel, aux termes de l’article 4, point 3, du RGPD correspond à la définition de la « limitation du traitement ») ou celles décrites au considérant 67 du RGPD, qui permettent de reconnaître les données concernées, de les isoler et de les protéger de tout traitement.

45      « [...] pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données [...] ».

46      Lorsque les données sont encore nécessaires à la personne concernée « pour la constatation, l’exercice ou la défense de droits en justice ».

47      « [...] pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée ».

48      Les doutes exprimés à cet égard ont motivé le fait que, au cours des négociations au sein du Conseil, ce point de la proposition de la Commission, que le Parlement n’a pas remis en question, a été d’abord placé entre parenthèses (voir note de la présidence du Conseil au groupe « Protection des données », 16529/12, du 4 décembre 2012, note en bas de page 275), puis a purement et simplement disparu. Sa réapparition ultérieure en vue de son examen par les délégations s’explique (à mon sens de manière discutable) puisque la possibilité qu’il prévoit accroît la protection de la personne concernée « without entailing additional administrative burden on controllers » (sans entraîner de charge administrative supplémentaire pour les responsables du traitement) : note de la présidence du Conseil aux délégations en vue de préparer le trilogue, 11696/15, du 4 septembre 2015, p. 9, dans laquelle il est en outre demandé à ces dernières « to show flexibility on this point » (de faire preuve de souplesse sur ce point).

49      Une disposition semblable à l’article 18, paragraphe 1, sous b), du RGPD figurait dans la directive 95/46, ainsi qu’à l’article 15, paragraphe 1, sous c), du règlement no 45/2001. Elle est reprise à l’identique à l’article 20, paragraphe 1, sous b), du règlement (UE) 2018/1725 du Parlement européen et du Conseil, du 23 octobre 2018, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO 2018, L 295, p. 39). Ces dispositions n’ont pas été interprétées par la Cour et soulèvent, selon moi, les mêmes questions que la disposition du RGPD concernée ; elles n’aident donc pas à la compréhension de cette dernière.

50      Considérant 39 et article 5, paragraphe 1, sous e), du RGPD. Voir, également, arrêt du 20 octobre 2022, Digi (C‑77/21, EU:C:2022:805, point 53) : « le principe de la “limitation de la conservation” requiert que le responsable du traitement soit en mesure de démontrer, conformément au principe de responsabilité [...], que les données à caractère personnel sont uniquement conservées pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été collectées ou pour lesquelles elles ont été ultérieurement traitées ».

51      À mon sens, celui de prouver le traitement illicite serait admissible : à l’article 18, paragraphe 1, les points b) et c) auraient des objectifs similaires, mais reposeraient sur une prémisse différente [l’illicéité du traitement pour le point b) et la licéité de celui‑ci pour le point c)].

52      Arrêt du 12 janvier 2023, Nemzeti Adatvédelmi és Információszabadság Hatóság (C‑132/21, EU:C:2023:2, points 45 et suiv.).

53      Décision de renvoi, point 43. Il s’agit de l’arrêt du Bundesgerichtshof (Cour fédérale de justice) du 22 février 2022 (VI ZR 1175/20, ECLI:DE:BGH:2022:220222UVIZR1175.20.0).

54      Arrêt du Bundesgerichtshof (Cour fédérale de justice) du 22 février 2022 (VI ZR 1175/20, ECLI:DE:BGH:2022:220222UVIZR1175.20.0, points 44 et 51).

55      Arrêt du 20 juin 2024, PS (Adresse erronée) (C‑590/22, ci‑après l’« arrêt Adresse erronée », EU:C:2024:536, point 31).

56      Arrêts Adresse erronée, point 32, et Agentsia po vpisvaniyata, point 144.

57      Arrêt du 14 décembre 2023, Natsionalna agentsia za prihodite (C‑340/21, EU:C:2023:986, points 79 et 80).

58      Arrêt Patērētāju tiesību aizsardzības centrs, points 36 et 37.

59      Arrêt Agentsia po vpisvaniyata, point 150.

60      Voir note en bas de page 25 des présentes conclusions. Le montant de la réparation pécuniaire doit correspondre au préjudice concrètement subi par la personne concernée, sans le dépasser ni être fixé à un niveau inférieur (arrêts Adresse erronée, point 41, et Patērētāju tiesību aizsardzības centrs, points 43 et 44). Il n’est tenu compte ni du degré de gravité et de l’éventuel caractère intentionnel de la violation du RGPD (arrêt Patērētāju tiesību aizsardzības centrs, point 42), ni de l’attitude et de la motivation du responsable du traitement (arrêt Patērētāju tiesību aizsardzības centrs, point 44), ni de la circonstance que plusieurs violations ont été commises, par le responsable du traitement, à l’égard d’une même personne concernée (arrêt du 11 avril 2024, juris, C‑741/21, EU:C:2024:288, point 64).