La Cour de justice de l’Union européenne, par la décision commentée, se prononce sur l’interprétation de plusieurs dispositions du règlement général sur la protection des données. Saisie d’une question préjudicielle par une juridiction nationale, elle clarifie les conséquences d’un manquement du responsable de traitement à certaines de ses obligations formelles. En l’espèce, il était reproché à un responsable de traitement de ne pas avoir respecté les obligations relatives à la conclusion d’un accord de responsabilité conjointe et à la tenue d’un registre des activités de traitement, prévues respectivement aux articles 26 et 30 du règlement. La personne concernée par les données en question soutenait que ces manquements rendaient le traitement illicite et demandait, par conséquent, l’effacement ou la limitation du traitement de ses données. Elle contestait également la possibilité pour une juridiction d’utiliser ces données dans le cadre d’une procédure. La question posée à la Cour était donc de savoir si la méconnaissance par le responsable du traitement de ses obligations organisationnelles prévues aux articles 26 et 30 du règlement rendait le traitement des données en lui-même illicite au sens de l’article 6, ouvrant ainsi droit à l’effacement en vertu de l’article 17 ou à la limitation en vertu de l’article 18. Il lui était également demandé si le droit de l’Union s’opposait à ce qu’une juridiction nationale tienne compte de telles données sans le consentement de la personne concernée.
À cette double interrogation, la Cour de justice apporte une réponse précise. Elle juge que « la méconnaissance, par le responsable du traitement, des obligations prévues aux articles 26 et 30 de ce règlement […] ne constitue pas un traitement illicite conférant à la personne concernée un droit à l’effacement ou à la limitation du traitement ». Elle ajoute que la licéité de la prise en compte de ces données par une juridiction « n’est pas subordonnée au consentement de la personne concernée ». La Cour opère ainsi une distinction nette entre les obligations formelles du responsable de traitement et la licéité substantielle du traitement lui-même, distinction qui emporte des conséquences tant sur les droits des personnes que sur l’office du juge. Il convient donc d’examiner la portée de cette dissociation entre les obligations de responsabilité et la licéité du traitement (I), avant d’analyser ses implications sur la recevabilité de la preuve en justice (II).
La Cour de justice établit une hiérarchie claire entre les différentes obligations issues du règlement général sur la protection des données. Elle refuse de considérer que le non-respect de certaines exigences formelles vicie par nature la licéité du traitement, ce qui conduit à circonscrire la portée des manquements (A) et à affirmer une conception restrictive des conditions d’ouverture du droit à l’effacement (B).
La décision commentée interprète de manière stricte les conditions qui rendent un traitement de données illicite. Le raisonnement de la Cour repose sur une lecture combinée des articles 5, 6, 17, 26 et 30 du règlement. Pour qu’un traitement soit considéré comme illicite et justifie un effacement au titre de l’article 17, paragraphe 1, sous d), il doit contrevenir aux principes fondamentaux de licéité énoncés à l’article 6. Or, la Cour estime que les obligations de l’article 26, relatif à l’accord entre responsables conjoints, et de l’article 30, sur le registre des activités de traitement, relèvent du principe de « responsabilité » de l’article 5, paragraphe 2. Ces obligations sont d’ordre organisationnel et visent à assurer la gouvernance et la traçabilité des traitements, mais leur méconnaissance n’implique pas, en soi, que le traitement des données manque d’une base légale au sens de l’article 6.
En d’autres termes, un traitement peut parfaitement reposer sur une base légale valide, tel le consentement de la personne ou la nécessité liée à l’exécution d’un contrat, tout en étant mis en œuvre par un responsable qui manque à ses devoirs administratifs. La Cour souligne ainsi que la violation des articles 26 ou 30 « n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de “responsabilité” tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier ». Cette dissociation préserve la substance du droit de la protection des données en évitant qu’un vice de forme n’entraîne automatiquement la sanction la plus radicale.
En conséquence directe de cette interprétation, la Cour de justice restreint les cas dans lesquels une personne peut exiger l’effacement ou la limitation de ses données. Le droit à l’effacement, souvent qualifié de « droit à l’oubli », constitue un outil puissant pour la maîtrise de ses informations personnelles, mais la Cour rappelle ici qu’il n’est pas absolu. Le faire dépendre de tout manquement du responsable de traitement, y compris formel, reviendrait à lui conférer une portée disproportionnée. Une telle extension risquerait de paralyser des traitements par ailleurs légitimes et nécessaires, pour des motifs qui ne touchent pas à la finalité ou à la légalité intrinsèque de la collecte et de l’usage des données.
La solution retenue a une valeur pragmatique indéniable : elle assure une sécurité juridique pour les responsables de traitement qui, malgré un manquement organisationnel susceptible de sanction par l’autorité de contrôle, ne voient pas l’ensemble de leurs opérations de traitement remises en cause. La décision réaffirme que le droit à l’effacement est une réponse à une atteinte substantielle aux principes de protection des données, et non un levier pour sanctionner toute imperfection dans la conformité administrative du responsable. Cette approche garantit que les droits des personnes concernées sont exercés pour des motifs qui touchent au cœur même de la protection de leur vie privée, sans pour autant créer une insécurité juridique excessive.
Après avoir délimité les conséquences d’un tel manquement sur les droits de la personne concernée, la Cour en précise la portée dans le cadre d’une procédure juridictionnelle.
La seconde partie du dispositif de la décision déplace l’analyse sur le terrain procédural. La Cour y affirme que la méconnaissance des articles 26 et 30 du règlement par un responsable de traitement ne saurait conditionner l’usage des données par une juridiction nationale, consacrant ainsi l’autonomie de l’appréciation de la preuve (A) et prévenant une instrumentalisation des règles de protection des données (B).
La Cour juge que le droit de l’Union ne subordonne pas la prise en compte de données à caractère personnel par un juge au consentement de la personne concernée, même lorsque le responsable de traitement a manqué à ses obligations formelles. Cette position réaffirme le principe de l’autonomie procédurale des États membres, selon lequel il appartient à l’ordre juridique national de régler les modalités de recevabilité et de force probante des preuves, sous réserve du respect des principes d’équivalence et d’effectivité du droit de l’Union. En l’espèce, exiger le consentement de la personne concernée pour l’utilisation de données dans un procès au seul motif d’une défaillance administrative du responsable du traitement constituerait une ingérence disproportionnée dans le déroulement de la justice.
La Cour considère que la licéité de l’utilisation de données dans un cadre juridictionnel ne dépend pas de la conformité du responsable de traitement aux articles 26 et 30. L’office du juge, qui est de trancher un litige sur la base des éléments qui lui sont soumis, ne saurait être paralysé par un manquement qui est extérieur au procès lui-même et ne remet pas en cause, comme vu précédemment, la licéité fondamentale du traitement. Autrement dit, le manquement d’un tiers, le responsable de traitement, ne doit pas priver le juge des moyens de parvenir à la manifestation de la vérité.
Au-delà de la question technique de la recevabilité de la preuve, la décision a pour portée de prévenir une instrumentalisation des règles du règlement général sur la protection des données à des fins étrangères à ses objectifs. Permettre à une partie d’exciper d’un manquement formel d’un responsable de traitement pour écarter des débats des éléments de preuve potentiellement pertinents reviendrait à détourner le droit de la protection des données de sa finalité. Ce droit vise à protéger les personnes physiques à l’égard du traitement de leurs données, non à fournir un arsenal procédural pour faire obstruction à la justice.
En refusant de lier l’admissibilité de la preuve au respect scrupuleux des obligations formelles du règlement, la Cour préserve l’équilibre des droits et le bon déroulement du procès. La solution garantit que le débat judiciaire puisse se concentrer sur le fond du litige, sans être pollué par des questions accessoires à la conformité du responsable du traitement, lesquelles relèvent davantage des prérogatives des autorités de contrôle. Cette décision renforce ainsi la cohérence du système juridique en cantonnant les sanctions de chaque type de manquement à leur domaine respectif, évitant qu’un manquement administratif ne produise des effets de bord excessifs sur la conduite du procès.
