Traitement des données personnelles par un journal officiel : qui est responsable ?
À l’occasion d’une affaire concernant l’exercice du droit à l’effacement prévu à l’article 17 du RGPD, la Cour de justice de l’Union européenne a été saisie d’une demande de décision préjudicielle par la Cour d’appel de Bruxelles (Belgique), par décision du 23 février 2022, portant sur deux points d’interprétation : l’un est relatif à la qualification de responsable de traitement d’un service public de publication légale des actes et documents officiels (RGPD, art. 4) ; l’autre porte sur une responsabilité conjointe avec des personnes ainsi que des instances publiques tierces ayant traité préalablement les données (RGPD, art. 5).
Dans un souci de protection des personnes, l’on sait que la CJUE retient une interprétation large de la notion de responsable de traitement (not., depuis le fameux arrêt Google Spain, v. parmi les arrêts récents, CJUE 5 déc. 2023, Nacionalinisvisuomenėssveikatos centras, aff. C-683/21 et Deutsche Wohnen, aff. C-807/21, D. 2023. 2193 
). En l’espèce, la question portait sur la responsabilité de l’organisme chargé du Journal officiel de l’État belge.
Dans cette affaire, une décision de réduction du capital social prise par l’assemblée extraordinaire d’une société à responsabilité limitée belge avait fait l’objet d’une publication légale. Conformément au code des sociétés belges, l’extrait de la décision avait été rédigé par un notaire (en l’occurrence, le notaire de l’associé majoritaire) qui l’avait transmis au greffe du tribunal compétent pour publication. Le greffe a communiqué l’extrait à la direction du Moniteur belge en vertu des dispositions légales pertinentes. Or, le notaire a commis l’erreur de laisser dans l’extrait des informations qui n’auraient pas dû être publiées à savoir un passage dans lequel sont indiqués le nom des deux associés de la société, dont celui de l’associé majoritaire, les montants qui leur ont été remboursés ainsi que leurs numéros de compte bancaire. L’associé majoritaire (personne physique) a, par l’intermédiaire de ce notaire et du délégué à la protection des données de ce dernier, entamé des démarches visant à obtenir la suppression de ce passage, conformément à son droit à l’effacement prévu à l’article 17 du RGPD. Le service public fédéral Justice (« SPF Justice »), auquel la direction du Moniteur belge est rattachée, a, par une décision du 10 avril 2019, refusé de répondre favorablement à la demande d’effacement. Saisie d’une plainte contre cette décision, l’Autorité de protection des données belge (APD) a commandé à SFF Justice de donner suite à ladite demande d’effacement. Le 22 avril 2021, l’État belge a saisi la cour d’appel de Bruxelles, qui est la juridiction de renvoi, en vue d’obtenir l’annulation de ladite décision. La Cour d’appel de Bruxelles a décidé de surseoir à statuer et de poser à la Cour deux questions préjudicielles :
« 1) L’article 4, [point] 7, du [RGPD] doit-il être interprété en ce sens qu’un Journal officiel d’un État membre – investi d’une mission de service public de publication et d’archivage de documents officiels, qui, en vertu de la législation nationale applicable, est chargé de publier les actes et documents officiels dont la publication lui est ordonnée par des instances publiques tierces, tels qu’ils sont communiqués par ces instances après qu’elles ont elles-mêmes traité des données à caractère personnel contenues dans ces actes et documents, sans être investi par le législateur national d’un pouvoir d’appréciation quant au contenu des documents à publier [ni] quant à la finalité et aux moyens de la publication – revêt la qualité de responsable du traitement ?
2) En cas de réponse [affirmative] à la première question, l’article 5, [paragraphe] 2, du [RGPD] doit-il être interprété en ce sens que le Journal officiel en question doit être seul tenu du respect des obligations pesant sur le responsable du traitement [aux termes] de cette disposition, à l’exclusion des instances publiques tierces ayant traité préalablement les données figurant dans les actes et documents officiels dont elles lui demandent la publication, ou ces obligations reposent – [elles] de manière cumulative sur chacun des responsables de traitement successifs ? »
La qualification de responsable de traitement d’un journal officiel
Après avoir relevé qu’il y a bien eu « traitement » de données à caractère personnel au sens de l’article 4, point 2, du RGPD dans la mesure où ces données ont été collectées, enregistrées, conservées, communiquées par transmission et diffusées par le Moniteur belge, la CJUE apprécie si ce service chargé du Journal officiel de l’État belge, peut être qualifié de « responsable du traitement » des données à caractère personnel figurant dans ces actes et ces documents au sens de l’article 5, paragraphe 2, du RGPD.
La CJUE rappelle que le responsable de traitement est la personne ou l’entité qui détermine, seule ou conjointement avec d’autres, les finalités et les moyens du traitement ou bien, lors que les finalités et les moyens de traitement sont déterminés par le droit national, le responsable de traitement est la personne ou l’entité désignée par le droit national selon des critères spécifiques. Dans cette dernière hypothèse, si la désignation du responsable de traitement doit découler de manière « suffisamment certaine » du rôle, de la mission et des attributions dévolus à la personne ou à l’entité concernée, la CJUE, selon sa doctrine qui consiste en une interprétation large de la notion de responsable de traitement, souligne que cette désignation ainsi que la détermination des finalités et des moyens de traitement peuvent être non seulement explicites, mais également implicites.
Elle en déduit qu’en l’espèce, le Moniteur belge peut être considéré comme étant le « responsable du traitement », au sens de l’article 4, point 7, du RGPD en tant qu’organisme chargé de traiter les données à caractère personnel figurant dans ses publications conformément aux finalités et aux moyens de traitement prescrits par la législation belge. L’avocate générale (concl., pt 57) avait d’ailleurs relevé qu’« effectuant ces opérations qui lui ont été confiées par le législateur, à savoir les transformation, publication et diffusion numériques, le Moniteur belge accroît exponentiellement le risque de violation des droits fondamentaux de l’intéressé (par rapport à la simple publication du document dans sa version papier) ».
De ce fait, la CJUE éclaire deux points de discussion sur la qualification de responsable de traitement. Premièrement, et c’est sans doute la précision essentielle de cette décision, la CJUE considère que le fait que l’entité concernée a l’obligation légale de publier les documents préparés par des tiers « tel quel », « sans possibilité de contrôle ni de modification du contenu », elle n’en est pas moins responsable de traitement du fait qu’elle endosse la charge de leur diffusion. Selon la CJUE, son rôle est déterminé par le droit national et, de ce fait, est intrinsèquement lié aux finalités et aux moyens du traitement déterminés par ce droit. Deuxièmement, elle considère qu’il est indifférent que le service en question ne soit pas doté de la personnalité juridique dans la mesure où un responsable de traitement peut être toute personne physique ou morale, mais aussi une autorité publique, un service ou un organisme doté ou non de la personnalité juridique au sens du droit national applicable.
La CJUE a pu ainsi conclure que « l’article 4, point 7, du RGPD doit être interprété en ce sens que le service ou l’organisme chargé du Journal officiel d’un État membre, qui est notamment tenu, en vertu de la législation de cet État, de publier tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité dans le respect des règles applicables, puis déposés auprès d’une autorité judiciaire qui les lui adresse pour publication, peut, nonobstant son défaut de personnalité juridique, être qualifié de “responsable du traitement” des données à caractère personnel figurant dans ces actes et ces documents, lorsque le droit national concerné détermine les finalités et les moyens du traitement des données à caractère personnel effectué par ce Journal officiel ».
La responsabilité conjointe en cas de chaîne de traitements
Le document en question contenant des données personnelles a été, préalablement à l’intervention du Moniteur belge, rédigé par un notaire puis communiqué au greffe du tribunal qui l’a transmis au service de publication. Autrement dit, l’opération a consisté en une chaîne de traitements sur les mêmes données à caractère personnel réalisés par différentes personnes ou entités.
La responsabilité du Moniteur belge est délimitée en fonction de son rôle réel (v. les lignes directrices 07/2020 concernant les notions de responsable du traitement et de sous traitant dans le RGPD, CEPD, pt 12) qui est la transformation numérique des données figurant dans les documents qui lui sont soumis, leur publication, leur mise à disposition à un large public ainsi que leur conservation. Il est donc responsable pour ce traitement particulier défini par le droit national et pour lequel il est tenu de respecter les principes visés l’article 5, paragraphe 1 du RGPD.
Quant aux autres personnes ou entités qui sont intervenues dans la chaîne de traitement, à savoir le notaire et le greffe du tribunal belge, l’avocate générale avait estimé que trois traitements successifs de données à caractère personnel ont eu lieu dans la présente affaire (pt 43). Néanmoins, selon son analyse, les autres protagonistes ne sont pas responsables conjointement avec le Moniteur belge, car une telle responsabilité n’a pas été instituée par le droit national et, par ailleurs, elle n’est pas établie par des faits (concl., pt 85). Enfin, il retient que le notaire, le greffe du tribunal belge et le Moniteur belge ont agi de manière distincte sur les données, leur responsabilité ne peut donc pas être cumulative, elle est uniquement individuelle (concl., pt 86). La CJUE vient préciser ce point : elle revient sur les conditions selon lesquelles les protagonistes pourraient être conjointement responsables au sens de l’article 2:6, paragraphe 1, du RGPD. Aux termes de cette disposition, il existe deux hypothèses de responsabilité conjointe : soit qu’il existe un accord entre les différents responsables qui définit de manière transparente leurs obligations ; soit que la responsabilité conjointe découle du droit national pour autant que les différentes opérations de traitement soient unies par des finalités et des moyens déterminés par ce droit et que celui-ci définit les obligations respectives de chacun des responsables conjoints du traitement. En revanche, selon la CJUE qui rappelle sa position (v. en ce sens, CJUE 5 déc. 2023, Nacionalinis visuomenės sveikatos centras, préc., pts 40 à 43), il est indifférent que chacun d’eux ait accès aux données à caractère personnel concernées.
En conclusion, la CJUE confirme que le service de publication légale, le Moniteur belge, doit respecter les obligations de protection des données personnelles qui lui incombe en vertu de sa qualité de responsable de traitement dans le cadre de ses missions prévues par le droit national. De plus, en cas de chaîne de traitements, et en l’absence d’accord entre les différentes personnes ou entités de la chaîne, il convient d’apprécier si le droit national détermine de manière explicite, même de manière indirecte, des finalités et des moyens unissant les différents traitements opérés par celles-ci ainsi que les obligations respectives de ceux-ci.
S’agissant du droit à l’effacement, la CJUE n’avait pas à se prononcer. Le gouvernement belge a objecté le principe d’immutabilité des informations diffusées par le Moniteur belge et le principe d’adéquation de la version papier et de la version en ligne. Toutefois, au regard de sa décision, il est probable que la Cour d’appel de Bruxelles confirmera l’obligation du SFF Justice (agissant au nom du Moniteur belge) d’effacer, c’est-à-dire de supprimer de la version en ligne, le passage litigieux et de publier l’extrait expurgé de ce passage. L’avocate générale (pt 71) relève à ce propos qu’il incombe à l’état de trouver des solutions innovantes pour que les principes qui encadrent les publications légales s’accordent avec la protection des personnes concernées. De plus, si le droit national belge ne permet pas l’effacement voire la rectification d’un journal officiel en vertu de l’article 17 du RGPD, il conviendra, selon l’avocate générale (pt 87) d’apprécier sa compatibilité au Règlement. Une telle limitation, rappelle-t-elle, doit, conformément à l’article 52, paragraphe 1, de la Charte, être prévue par la loi, respecter le contenu essentiel des droits fondamentaux des personnes physiques et respecter le principe de proportionnalité. Le gouvernement belge est averti !
CJUE 11 janv. 2024, aff. C-231/22
CJUE 11 janv. 2024, aff. C-231/22, concl. Mme Laïla Medina
© Lefebvre Dalloz