<< Retour aux articles
Image article

La CJUE élargit la notion de responsable du traitement des données

Affaires - Affaires, Sociétés, Commercial
Propriété intellectuelle et TIC - Propriété intellectuelle et TIC
14/03/2025

La Cour de justice de l’Union européenne (CJUE) a récemment rendu un arrêt déterminant sur la qualification de responsable du traitement en matière de protection des données personnelles. Cette décision, issue de l'affaire C‑638/23, apporte un éclairage sur la possibilité pour une entité dépourvue de personnalité et de capacité juridique d’être désignée comme responsable du traitement par le droit national.

Un contexte juridique complexe

L’affaire opposait l’autorité autrichienne de protection des données à un organisme administratif auxiliaire, appelé "Office", qui avait envoyé des rappels de vaccination à des citoyens du Land du Tyrol. Ce traitement de données a été contesté par un destinataire, estimant qu’il était illégal, car l’Office n’avait pas de droit d’accès aux registres des vaccinations et des patients.

Face à ce litige, la CJUE a été amenée à répondre à deux questions essentielles :

  • Une réglementation nationale peut-elle désigner comme responsable du traitement une entité administrative dépourvue de personnalité juridique et de capacité juridique propre ?
  • Une entité ainsi désignée doit-elle nécessairement déterminer les finalités et moyens du traitement pour être considérée comme responsable du traitement ?

Une conception élargie du responsable du traitement

Sur la première question, la CJUE a confirmé que le droit national peut qualifier une entité dépourvue de personnalité juridique de responsable du traitement, à condition que cette entité puisse assumer les obligations imposées par le RGPD. Cela inclut la capacité à introduire un recours, faire l’objet de plaintes et déléguer certaines missions à des entreprises privées.

Sur la seconde question, la Cour a précisé que les finalités et moyens du traitement peuvent être déterminés implicitement par le droit national, sans qu’il soit nécessaire que l’entité concernée ait une influence directe sur ces éléments.

Un impact majeur pour la gouvernance des données

Cet arrêt marque une évolution importante dans l’application du RGPD. Il confirme que le critère de responsabilité du traitement ne repose pas uniquement sur la capacité à définir les finalités et les moyens, mais aussi sur la reconnaissance légale de cette responsabilité. Désormais, toute entité désignée par la loi, même sans personnalité juridique, doit répondre aux exigences du RGPD et aux demandes des personnes concernées.

Ainsi, cette décision renforce la protection des données en garantissant que toute entité manipulant des données personnelles sous l’autorité de la loi assume pleinement ses obligations, quelles que soient ses caractéristiques juridiques.