Auteur : Marc Vandecasteele (LegalNews)
Le 16 novembre 2023, la Cour de Justice a rendu un arrêt dans l’affaire C-333/22
Les faits
En 2016, BA a souhaité participer au montage et démontage des installations de la dixième édition des « Journées européennes du développement » à Bruxelles. Pour cela, il devait avoir un « certificat de sécurité ». Par lettre du 22 juin 2016, l’Autorité nationale de sécurité a refusé de délivrer le certificat de sécurité requis. Elle a souligné que les informations qui lui ont été fournies montraient que l’intéressé avait participé à dix manifestations entre 2007 et 2016, ce qui ne permettait pas de délivrer de certificat de sécurité. BA n’a pas contesté cette décision de l’Autorité nationale de sécurité.
La loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (WBG), qui institue l’Organe de contrôle de l’information policière, est entrée en vigueur le 5 septembre 2018. Le 4 février 2020, le conseil de BA a demandé à l’autorité de contrôle d’identifier les responsables du traitement litigieux et de leur ordonner de donner à BA accès à toutes les informations le concernant.
Par courrier électronique du 6 février 2020, l’organisme de contrôle a répondu que BA ne disposait que d’un droit d’accès indirect et lui a assuré qu’elle vérifierait les données personnelles de BA pour déterminer la licéité de tout traitement des données dans la Base de données nationale générale (ANG). s’assurer. L’organisme de contrôle a précisé qu’il pouvait ordonner à la police de supprimer ou de modifier les données, si nécessaire, et qu’à la suite de ce contrôle, BA serait informée que « les vérifications nécessaires [werden] menée ». Le 22 juin 2020, l’instance de contrôle écrivait : «[…] Je partage avec vous conformément à l’article 42 [WBG] que l’organisme de contrôle a procédé aux vérifications nécessaires. Cela signifie que les données personnelles de votre client ont été vérifiées dans les bases de données de la police afin de garantir la licéité de tout traitement. Si nécessaire, les données personnelles ont été modifiées ou supprimées. Comme je vous l’ai expliqué dans mon email du 2 juin, l’article 42 du GBM ne permet pas à l’organe de contrôle de fournir plus d’informations.»
Le 2 septembre 2020, les requérantes au principal, à savoir BA et la Ligue des droits humains, ont convoqué l’organe de contrôle en vertu de l’article 209 WBG, deuxième phrase, devant le président du tribunal de première instance du tribunal francophone de Bruxelles. tribunal de première instance parlant Bruxelles, Belgique). Ils ont demandé au président de déclarer recevable leur recours contre l’organe de contrôle. À titre subsidiaire, ils lui ont demandé si l’article 42 du WBG était contraire à l’article 47, paragraphe 4, et à l’article 17, paragraphe 3, de la directive 2016/680. BA et la Ligue des droits humains ont fait valoir à cet égard que l’article 42 du WBG ne prévoit pas la possibilité d’un contrôle juridictionnel contre les décisions de l’organe de contrôle indépendant, ni n’oblige cet organe à informer la personne concernée de son droit à faire appel au tribunal. Par décision du 17 mai 2021, ce président s’est déclaré incompétent pour connaître du recours des requérants.
Par requête en date du 15 juin 2021, l’affaire a été portée devant la cour d’appel de Bruxelles.
Les requérants ont réitéré en substance leurs critiques à l’égard du deuxième alinéa de l’article 42 du WBG et ont confirmé les demandes qu’ils avaient formulées dans le cadre de la procédure de première instance. L’organisme de contrôle a demandé le rejet du recours.
La cour d’appel de Bruxelles a suspendu la procédure et demandé une décision préjudicielle à la Cour sur les questions suivantes :
1) Exiger l’article 47 et l’article 8, paragraphe 3 [van het Handvest] cette disposition prévoit un recours judiciaire contre une autorité de contrôle indépendante telle que la [controleorgaan]lors de l’exercice des droits de la personne concernée à l’encontre du responsable du traitement ?
2) L’article 17 de la directive 2016/680 est-il conforme à l’article 47 et à l’article 8, paragraphe 3 ? [van het Handvest]tel qu’interprété par la Cour de justice, dans la mesure où il oblige uniquement l’autorité de contrôle – qui exerce les droits de la personne concernée à l’encontre du responsable du traitement – à informer la personne concernée “que tous les contrôles ou évaluations nécessaires par l’autorité de contrôle ont été effectués lieu” et de l’informer “de son droit de recours en justice”, alors que cette information ne permet pas de contrôler a posteriori l’action et l’appréciation de l’autorité de contrôle par rapport aux données de la personne concernée et aux obligations du responsable du traitement ? »
Arrêt de la Cour de justice
La Cour a jugé que lorsque l’autorité de contrôle compétente informe la personne concernée du résultat des contrôles, elle prend une décision juridiquement contraignante. Cette décision devrait être susceptible de recours afin que la personne concernée puisse contester l’appréciation de l’autorité de contrôle sur la licéité du traitement des données et la décision de prendre ou non des mesures correctives. La Cour rappelle que le droit de l’Union impose à l’autorité de contrôle d’informer la personne concernée « au moins » du fait « que tous les contrôles ou évaluations nécessaires ont été effectués par l’autorité de contrôle » et de « son droit de recours pour obtenir soumis au tribunal ».
Toutefois, lorsque les objectifs d’intérêt général ne s’y opposent pas, les États membres devraient prévoir que les informations fournies à la personne concernée peuvent être plus complètes que ces informations minimales, afin que la personne concernée puisse défendre ses droits et décider si elle doit s’adresser au tribunal compétent.
Communiqué de presse du 16 novembre 2023
