La Cour de justice de l’Union européenne a rendu, le 27 février 2025, un arrêt relatif à la notion de responsable du traitement des données. Cette décision précise les conditions dans lesquelles le droit national peut désigner une entité administrative comme responsable au sens du règlement général sur la protection des données.
Un office administratif régional a procédé à l’envoi de courriers de rappel de vaccination contre une pandémie. Pour identifier les destinataires, cet organisme a fait effectuer un croisement de données issues du registre central des vaccinations et du registre des patients. Une personne physique a saisi l’autorité de protection des données d’une plainte pour traitement illégal de ses informations personnelles. Par une décision du 22 août 2022, l’autorité nationale a constaté une violation du droit à la protection des données. L’office a alors introduit un recours devant le Tribunal administratif fédéral qui a confirmé l’illégalité du traitement. Saisi d’un recours en révision, la Cour administrative a décidé de surseoir à statuer pour interroger le juge de l’Union.
La question posée porte sur la possibilité de désigner comme responsable un office dépourvu de personnalité juridique et n’ayant pas déterminé les finalités du traitement. La juridiction de renvoi s’interroge également sur la nécessité pour cette entité de disposer d’une capacité juridique propre.
La Cour de justice de l’Union européenne juge que le règlement ne s’oppose pas à une telle désignation par le droit national. Cette faculté est admise dès lors que l’entité peut répondre aux obligations légales et que l’étendue du traitement est déterminable.
I. Une approche fonctionnelle de la qualité de responsable du traitement
A. L’indifférence à l’égard de la personnalité juridique de l’entité
La Cour rappelle que la notion de responsable du traitement doit recevoir une définition large pour assurer une protection efficace des personnes. Le texte de l’article 4 du règlement inclut explicitement les services et les organismes parmi les entités susceptibles d’être qualifiées de responsables. La Cour précise qu’ « un responsable du traitement peut être non seulement une personne physique ou morale, mais aussi une autorité publique, un service ou un organisme ».
Ces entités « n’étant pas nécessairement dotées de la personnalité juridique en fonction du droit national », leur statut n’empêche pas l’application du règlement. L’objectif consiste à garantir un niveau élevé de protection des libertés fondamentales indépendamment de la structure interne des administrations. La nature administrative auxiliaire d’un office ne fait donc pas obstacle à sa qualification juridique en tant que responsable.
B. L’exigence d’une aptitude concrète à respecter les obligations légales
Si la personnalité juridique fait défaut, le responsable doit néanmoins être en mesure de répondre aux obligations imposées par le droit de l’Union. Le juge souligne que le responsable doit « mettre en œuvre des mesures appropriées et effectives » pour démontrer la conformité de ses activités. Cette responsabilité exige que l’entité dispose d’une certaine capacité de décision et d’action dans le cadre de la protection des données.
L’entité désignée doit ainsi pouvoir répondre aux demandes des personnes concernées sur le fondement des droits qu’elles tirent du règlement. Il appartient à la juridiction nationale de vérifier si l’office est habilité par le droit interne à assumer concrètement ces responsabilités. La reconnaissance de cette qualité de responsable suppose toutefois que la désignation opérée par le législateur national respecte certaines exigences de précision.
II. Une marge de manœuvre encadrée pour le législateur national
A. La validité d’une détermination implicite de l’étendue du traitement
Le droit national peut désigner directement un responsable sans énumérer de manière exhaustive toutes les opérations de traitement qu’il effectue. La Cour admet que « la détermination des finalités et des moyens du traitement par ce droit peut être implicite ». Cette condition est remplie si les missions et les attributions dévolues à l’entité permettent d’en déduire l’étendue du traitement.
Le législateur n’est pas tenu de préciser de façon concrète chaque finalité spécifique au stade de la désignation de l’organisme responsable. Une disposition légale générale peut suffire pour fonder plusieurs opérations de traitement nécessaires à l’exécution d’une mission d’intérêt public. Cette souplesse permet d’adapter la protection des données aux réalités opérationnelles des administrations publiques sans affaiblir les garanties juridiques.
B. La garantie d’une identification aisée pour les personnes concernées
La désignation directe d’un responsable par le droit national contribue à l’objectif de sécurité juridique recherché par le législateur européen. Cette identification claire permet aux citoyens d’ « identifier aisément l’entité chargée de veiller au respect des droits que leur confère ce règlement ». La validité de cette désignation ne dépend pas de l’influence réelle que l’entité exerce sur les finalités du traitement.
Il n’est pas nécessaire que l’organisme désigné par la loi décide lui-même des moyens mis en œuvre pour être tenu pour responsable. L’objectif de protection serait compromis si les personnes concernées devaient vérifier le pouvoir effectif de décision de l’entité avant d’agir. Cette solution assure une continuité de la responsabilité au sein de l’État tout en préservant l’accès effectif aux recours juridictionnels.
