CJUE – Land Hessen – C-272/19

Décision

🏷️ Nom:

Land Hessen

🔢 Numéro:

C-272/19

📅 Date:

9 juillet 2020

⚖️ Autorité:

Cour de Justice de l'UE

🌍 Pays:

Allemagne

🔗 Lien:

Contexte

Après avoir présenté une pétition à la Commission des pétitions du Parlement du Land de Hesse, VQ a, sur le fondement de l’article 15 du règlement 2016/679, demandé à cette commission l’accès aux données à caractère personnel le concernant, enregistrées par celle-ci dans le cadre du traitement de sa pétition. Le président du Parlement du Land de Hesse a décidé de rejeter cette demande, au motif que la procédure de pétition constitue une mission parlementaire et que ledit parlement ne relève pas du champ d’application du règlement 2016/679.

VQ a, le 22 mars 2013, introduit un recours devant le Verwaltungsgericht Wiesbaden (tribunal administratif de Wiesbaden, Allemagne), la juridiction de renvoi dans cette affaire, contre la décision du président du Parlement du Land de Hesse rejetant sa demande.

Apport(s)
Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie de nature à exclure l'application du RGPD - Traitement propre à l’État ou à une autorité publique - Absence de qualification automatique Extrait(s) pertinent(s)69. Certes, la Cour a, en substance, souligné que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l’Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et que ces activités sont destinées à définir la portée de l’exception y prévue, de telle sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) (arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 43 et 44). 70. Cela étant, le fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité. Il est, en effet, nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées par ladite disposition ou qu’elle puisse être rangée dans la même catégorie que celles-ci. Article(s) du RGPD Article 2 – Champ d’application matériel Thème(s)Champ d'application Sécurité nationale Fait référence à > CJUE – Lindqvist – C-101/01 Autres informations
Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Conséquence - Applicabilité du droit d’accès Extrait(s) pertinent(s)72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires. 74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci. Article(s) du RGPD Article 4 – Définitions Article 15 – Droit d’accès de la personne concernée Article 24 – Responsabilité du responsable du traitement Thème(s)Droits des personnes Droit d'accès Responsable de traitement Portée Fait référence à > CJUE – Lindqvist – C-101/01 Autres informations

Apport(s)

Activité visant à préserver la sécurité nationale ou activité relevant de cette catégorie de nature à exclure l'application du RGPD - Traitement propre à l’État ou à une autorité publique - Absence de qualification automatique

Extrait(s) pertinent(s)69. Certes, la Cour a, en substance, souligné que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l’Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et que ces activités sont destinées à définir la portée de l’exception y prévue, de telle sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis) (arrêt du 6 novembre 2003, Lindqvist, C-101/01, EU:C:2003:596, points 43 et 44).

70. Cela étant, le fait qu’une activité soit propre à l’État ou à une autorité publique ne suffit pas pour que cette exception soit automatiquement applicable à une telle activité. Il est, en effet, nécessaire que cette activité figure au nombre de celles qui sont expressément mentionnées par ladite disposition ou qu’elle puisse être rangée dans la même catégorie que celles-ci.
Article(s) du RGPD Article 2 – Champ d’application matériel
Thème(s)Champ d'application Sécurité nationale
Fait référence à > CJUE – Lindqvist – C-101/01
Autres informations

Responsable du traitement - Commission des pétitions du parlement d’un État fédéré d’un État membre - Inclusion - Conséquence - Applicabilité du droit d’accès

Extrait(s) pertinent(s)72. En quatrième et dernier lieu, aucune exception n’est prévue dans le règlement 2016/679, notamment au considérant 20 et à l’article 23 de celui-ci, en ce qui concerne les activités parlementaires.

74. Il résulte de l’ensemble des considérations qui précèdent que l’article 4, point 7, du règlement 2016/679 doit être interprété en ce sens que, dans la mesure où une commission des pétitions du parlement d’un État fédéré d’un État membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement, cette commission doit être qualifiée de « responsable du traitement », au sens de cette disposition, de telle sorte que le traitement de données à caractère personnel effectué par une telle commission relève du champ d’application de ce règlement, notamment de l’article 15 de celui-ci.
Article(s) du RGPD Article 4 – Définitions
Article 15 – Droit d’accès de la personne concernée
Article 24 – Responsabilité du responsable du traitement
Thème(s)Droits des personnes Droit d'accès Responsable de traitement Portée
Fait référence à > CJUE – Lindqvist – C-101/01
Autres informations

Références

Cette décision cite...

> CJUE – Lindqvist – C-101/01

6 novembre 2003

Cette décision est citée par...

> CJUE – Österreichische Datenschutzbehörde – C-33/22

16 janvier 2024

> CNIL – Avis sur projet de décret, CESE – Avis 2022-023

17 février 2022

> CJUE – Latvijas Republikas Saeima (Points de pénalité) – C-439/19

22 juin 2021

Signaler une erreur / Faire une suggestion