La Cour de justice de l’Union européenne, par une décision du 6 octobre 2025, précise les contours de la notion de responsable de traitement. Le litige concernait un service public chargé de la publication d’actes officiels contenant des informations personnelles sur le fondement d’une obligation légale. Ce service diffusait des documents préparés par des tiers sans pouvoir en modifier le contenu lors de la procédure de mise en ligne. Un particulier a alors sollicité la suppression de ses données personnelles auprès du journal officiel en invoquant les dispositions du droit européen. La juridiction nationale saisie du litige a interrogé la Cour de justice sur la qualification juridique de cet organisme administratif sans personnalité. Il s’agissait de savoir si une entité publiant des documents pour le compte de tiers peut être qualifiée de responsable de traitement. La Cour répond par l’affirmative si le droit national définit les finalités et les moyens du traitement effectué par ce journal officiel. L’étude de la qualification organique de l’organisme précédera l’analyse du régime de responsabilité attaché à ses missions spécifiques de publication.
I. La qualification fonctionnelle du responsable de traitement des données
A. L’indifférence de la personnalité juridique de l’entité de diffusion
La Cour affirme que l’organisme chargé du Journal officiel peut être qualifié de « responsable du traitement » malgré son absence de personnalité juridique. Cette interprétation favorise une protection efficace des personnes physiques en identifiant un débiteur d’obligations au-delà des structures formelles du droit interne. L’article 4, point 7, du règlement 2016/679 définit effectivement le responsable comme une autorité publique ou un simple service de l’État. La décision souligne que cette qualification s’impose « lorsque le droit national concerné détermine les finalités et les moyens du traitement » des informations. Cette approche pragmatique garantit que les citoyens disposent d’un recours effectif contre toute entité traitant réellement des données personnelles dans l’espace européen.
B. La détermination légale des finalités et des moyens du traitement
La qualification de responsable dépend exclusivement du contrôle exercé sur les objectifs et les modalités techniques de l’opération de traitement des données. Le journal officiel publie « tels quels des actes et des documents officiels préparés par des tiers sous leur propre responsabilité » juridique. Bien que le service ne choisisse pas le contenu des actes, il assure la mission de diffusion publique organisée par la loi nationale. La législation détermine ici les finalités sociales de la publication tout en fixant les moyens techniques nécessaires à cette large communication institutionnelle. Dès lors que le droit interne encadre ces opérations, le service public concerné endosse la qualité de responsable au sens du règlement général.
Cette reconnaissance de la qualité de responsable permet d’envisager les conséquences juridiques pesant sur le service quant au respect du règlement européen.
II. Le régime de responsabilité lié aux publications officielles
A. Le principe de la responsabilité exclusive de l’organisme de publication
Le service qualifié de responsable est « seul responsable du respect des principes visés à l’article 5, paragraphe 1 » du texte européen. Cette exclusivité offre aux usagers un interlocuteur unique pour exercer leurs droits de rectification ou d’effacement prévus par la réglementation en vigueur. Le juge clarifie ainsi la répartition des obligations entre les différents acteurs intervenant lors de la production et de la diffusion d’actes. Même si les documents proviennent d’une autorité judiciaire, l’acte matériel de publication fonde la responsabilité propre et autonome du journal officiel concerné. Cette solution renforce la sécurité juridique des administrés en évitant une dilution complexe des responsabilités entre les multiples services de l’État.
B. L’éventualité d’une responsabilité conjointe d’origine législative
La Cour réserve l’hypothèse où « une responsabilité conjointe avec d’autres entités au regard de ces opérations ne découle de ce droit » interne. Le règlement général autorise une co-responsabilité lorsque plusieurs acteurs déterminent de concert les finalités et les moyens des traitements de données personnelles. Le droit national peut donc désigner plusieurs organismes pour assumer solidairement les garanties de protection lors de la phase de publication officielle. En l’absence d’une telle disposition législative explicite, le Journal officiel demeure le seul garant de la licéité des traitements ainsi réalisés. Cette précision préserve la souveraineté des États membres pour organiser la gestion de leurs services publics tout en respectant les standards européens.
