Par un arrêt en date du 11 juillet 2024, la Cour de justice de l’Union européenne a précisé les contours de la notion de « responsable du traitement » au sens du Règlement général sur la protection des données (RGPD). La décision a été rendue sur renvoi préjudiciel d’une juridiction allemande dans le cadre d’un litige opposant une personne physique à son ancien curateur, qui avait exercé ses fonctions à titre professionnel.
En l’espèce, une personne anciennement placée sous un régime de curatelle souhaitait obtenir l’accès aux données à caractère personnel la concernant, collectées par son ancien curateur durant l’exercice de son mandat. Face au refus opposé, l’individu a saisi la justice allemande. La juridiction de première instance a rejeté sa demande au motif qu’un curateur, agissant en qualité de représentant légal, ne pouvait être considéré comme un « responsable du traitement » distinct de la personne qu’il représente. Saisie en appel, la juridiction de renvoi a alors interrogé la Cour de justice sur l’interprétation de l’article 4, point 7, du RGPD.
Le problème de droit soumis à la Cour consistait donc à déterminer si un ancien curateur, ayant exercé sa mission à titre professionnel, doit être qualifié de « responsable du traitement » pour les données personnelles de la personne protégée qu’il détient encore après la fin de son mandat. Il s’agissait également de savoir si, en conséquence, il était tenu de respecter le droit d’accès prévu à l’article 15 du même règlement.
La Cour de justice répond par l’affirmative, estimant qu’« un ancien curateur ayant exercé ses fonctions à titre professionnel à l’égard d’une personne placée sous sa curatelle doit être qualifié de “responsable du traitement” ». Elle en déduit que ce dernier doit se conformer à l’ensemble des obligations du RGPD, notamment celle de garantir le droit d’accès aux données. Cette solution clarifie la notion de responsable du traitement dans le contexte d’un mandat de représentation achevé (I), et consacre par là même une protection étendue des données de la personne anciennement protégée (II).
***
La Cour de justice fonde sa décision sur une interprétation stricte des concepts du RGPD, en écartant d’abord l’exception liée au cadre personnel de l’activité (A), pour ensuite affirmer l’existence d’une responsabilité autonome du curateur une fois son mandat terminé (B).
L’applicabilité du RGPD était une question liminaire, la juridiction de renvoi s’interrogeant sur l’exception prévue pour les activités « strictement personnelles ou domestiques ». En effet, le curateur avait été choisi dans l’entourage de la personne protégée. La Cour écarte fermement cette hypothèse en soulignant que le critère déterminant est le caractère professionnel du mandat. L’article 2, paragraphe 2, sous c), du RGPD exclut les traitements « sans lien avec une activité professionnelle ou commerciale ». Or, le curateur en cause exerçait bien ses fonctions à titre professionnel, ce qui suffisait à faire entrer le traitement des données dans le champ d’application matériel du règlement.
La Cour confirme ainsi une jurisprudence constante selon laquelle la nature de l’activité prime sur la relation personnelle qui peut exister entre les parties. La circonstance que l’ancien curateur « fait partie de l’entourage personnel de [la personne concernée] ne saurait remettre en cause cette conclusion ». Cette analyse pragmatique empêche que la protection des données soit affaiblie par la seule existence d’un lien préexistant entre le responsable du traitement et la personne concernée, dès lors que le traitement s’inscrit dans un cadre économique ou professionnel.
Le cœur du raisonnement de la Cour repose sur la distinction entre le statut du curateur pendant et après sa mission. Les juridictions allemandes avaient initialement considéré qu’il n’existait pas de « dichotomie entre le curateur et la personne concernée », le premier agissant comme simple représentant du second. La Cour ne contredit pas frontalement cette analyse pour la durée du mandat, mais elle la juge inopérante une fois celui-ci achevé. Elle relève en effet que la demande d’accès vise « non pas son curateur actuel, mais par son ancien curateur, […] désormais relevé de ses fonctions ».
Dès cet instant, la relation de représentation a cessé, et l’ancien curateur ne peut plus être confondu avec la personne qu’il représentait. La Cour en tire une conséquence logique et décisive : « un ancien curateur est donc une personne tierce à l’égard d’une personne qui a été placée sous sa curatelle par le passé ». En sa qualité de tiers détenant et conservant des données personnelles, il en détermine nécessairement les finalités et les moyens de traitement, ne serait-ce que pour des raisons d’archivage ou de reddition de comptes. Il correspond donc parfaitement à la définition du « responsable du traitement » posée par l’article 4, point 7, du RGPD.
Cette qualification de responsable du traitement emporte des conséquences significatives pour la personne concernée, renforçant ses prérogatives sur ses propres informations.
En qualifiant l’ancien curateur de responsable du traitement, la Cour lui impose de facto l’ensemble des obligations prévues par le RGPD (A), offrant ainsi une solution de principe qui semble pouvoir être étendue à d’autres formes de représentation légale (B).
La conséquence directe de cette qualification est de rendre l’ancien curateur pleinement redevable des obligations édictées par le règlement. La Cour le précise explicitement en affirmant qu’un tel traitement « doit respecter l’ensemble des dispositions de ce règlement, notamment l’article 15 de celui-ci ». Le droit d’accès de la personne concernée, qui constitue l’une des pierres angulaires du RGPD, se trouve ainsi garanti. La personne anciennement protégée peut exiger de savoir si des données la concernant sont traitées et, le cas échéant, en obtenir une copie.
Cette solution prévient le risque qu’un vide juridique ne prive de ses droits une personne particulièrement vulnérable. En l’absence d’une telle clarification, les données collectées durant la curatelle auraient pu rester indéfiniment hors de portée de la personne concernée, alors même qu’elles la touchent au plus près. La Cour rappelle que ce droit d’accès peut être limité en application de l’article 23 du règlement, mais le principe de sa pleine application à l’ancien curateur est désormais acquis, assurant une protection effective et continue des données personnelles.
Bien que rendue dans le contexte spécifique du droit allemand de la curatelle, la portée de la décision dépasse largement ce seul cadre. Le raisonnement de la Cour, fondé sur la temporalité du mandat et la qualification de « tiers » de l’ancien représentant, est transposable à de nombreuses autres situations. On peut penser aux tuteurs, aux mandataires judiciaires, voire à certains égards aux avocats ou agents après la fin de leur mission. Dès lors qu’un professionnel détient des données personnelles concernant son ancien client ou la personne qu’il représentait, il devient un responsable de traitement autonome pour ces données.
L’arrêt du 11 juillet 2024 s’analyse donc comme une décision de principe qui renforce la cohérence du système de protection des données. Elle affirme que le statut juridique d’un représentant ne saurait constituer un écran permanent faisant obstacle aux droits fondamentaux de la personne concernée. Une fois le mandat achevé, la fiction juridique de la représentation s’efface au profit de la réalité du traitement de données, redonnant ainsi à l’individu la pleine maîtrise des informations qui le concernent.
