Actualité
4 min de lecture
7 mars 2025
Une entité dépourvue de la personnalité juridique et de capacité juridique propre, peut, sous certaines conditions, être qualifiée de responsable de traitement par une loi nationale. Il n’est pas nécessaire que cette loi précise, de manière concrète, les opérations spécifiques de traitement de données dont cette entité est responsable ou la finalité de ces opérations.

Cette conclusion découle d’un arrêt de la CJUE (CJUE, 27 févr. 2025, aff. C‑638/23, Amt der Tiroler Landesregierung) qui opposait l’autorité de protection des données autrichienne à une entité administrative auxiliaire d’une autorité publique du même pays (ci-après l’« Office »). Avec l’aide de deux entreprises privées qu’il avait spécialement mandatées, l’Office avait envoyé une lettre de rappel de vaccination à toutes les personnes majeures du Land du Tyrol qui n’avaient pas encore été vaccinées. Or, l’un des destinataires a considéré que le traitement de données opéré était illégal et a saisi l’autorité de de protection autrichienne d’une plainte. Celle-ci a abouti à la conclusion que le traitement opéré par l’Office était illicite dans la mesure où cette entité avait consulté des données figurant dans le registre des vaccinations, alors qu’elle ne disposait pas d’un droit d’accès à ce registre, ni au registre des patients. Le recours formé contre cette décision a mis en lumière la nécessité de s’interroger sur la qualité même de l’Office. Ainsi, la CJUE était appelée à se prononcer sur les conditions pour être qualifié de responsable du traitement. Plus spécifiquement, il s’agissait pour elle de déterminer :

  • si une réglementation nationale peut désigner, en tant que responsable du traitement, une entité administrative auxiliaire dépourvue de la personnalité juridique et de capacité juridique propre, sans préciser, de manière concrète, les opérations spécifiques de traitement de données à caractère personnel dont cette entité est responsable, ni la finalité de ces opérations ; et
  • si une entité désignée par le droit national comme responsable du traitement doit pouvoir décider effectivement des finalités et des moyens du traitement des données à caractère personnel pour être tenue de répondre, en tant que responsable du traitement, aux demandes que lui adressent les personnes concernées sur le fondement des droits qu’elles tirent du RGPD.

Classiquement, le responsable du traitement est défini comme la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Le RGPD complète cette définition en indiquant que le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre lorsque les finalités et les moyens de ce traitement sont déterminés par ce droit (art. 4, §7 du RGPD).

En se fondant sur cette disposition, la CJUE répond aux questions posées en trois temps.

Premièrement, elle s’attache à déterminer s’il est possible pour une règlementation nationale de désigner comme responsable du traitement une entité dépourvue de personnalité et de capacité juridique. Sur ce point, elle confirme sa jurisprudence antérieure (CJUE, 11 janv. 2024, aff. C-231/22, État belge) et répond positivement. Une entité dépourvue de la personnalité juridique peut donc être qualifiée de responsable du traitement. À ce titre, elle doit être en mesure de répondre aux obligations mises à sa charge en vertu du RGPD. La juridiction de renvoi est invitée à vérifier cette aptitude, notamment à la lumière de la capacité de l’Office à introduire un recours, à faire l’objet d’une plainte devant l’autorité de protection autrichienne ainsi qu’à mandater des entreprises privées pour certaines missions.

Deuxièmement, la CJUE s’interroge sur la possibilité pour une réglementation nationale à désigner une entité en tant que responsable du traitement, sans préciser, de manière concrète, ni les traitements de données que cette entité peut être amenée à effectuer, ni leur finalité, ni les moyens précis qu’elle peut mettre en œuvre. Elle répond que la détermination des finalités et des moyens peut être implicite, pour autant que « ces finalités et moyens ressortent, en substance, des dispositions de droit national régissant l’activité de ladite entité » (point 37). Ces dispositions doivent permettre, explicitement ou implicitement de délimiter « l’étendue du traitement des données à caractère personnel dont cette entité est désignée responsable » (point 40).

En dernier lieu, la CJUE se demande si l’entité désignée responsable du traitement doit décider des finalités et moyens du traitement pour être tenue de répondre aux demandes adressées par les personnes concernées exerçant leurs droits. Sur ce point, la lettre de l’article 4, § 7 est claire puisqu’elle n’exige pas qu’une entité ait une influence sur la détermination des finalités et des moyens pour être qualifiée de responsable du traitement. Cette détermination peut relever du droit national. En tant que responsable du traitement, elle est, de façon tout à fait classique, tenue de répondre aux demandes que les personnes concernées lui adressent sur le fondement des droits qu’elles tirent du RGPD.

Avec cet arrêt, la CJUE porte un éclairage sur la deuxième partie de la définition du responsable du traitement, en soulignant le fait que les finalités et moyens du traitement peuvent, dans certains cas, être déterminés de façon implicite, non pas par le responsable lui-même, mais par le droit national.

ChatGPT, révolution ou gadget technologique sans intérêt ?

Retrouvez dans cet article l'analyse de 2 spécialistes, Guillaume Jagerschmidt, avocat en droit des nouvelles technologies et Zacharie Laïk. avocat au barreau de New York, sur l’impact de l’utilisation de ChatGPT pour le métier des avocats en 2 points : pour une utilisation raisonnée de ChatGPT et faire monter les exigences et les compétences des juristes

Jessica EYNARD, Maître de conférences HDR en droit à l’Université de Toulouse Capitole, co-directrice de la Mention Droit du numérique et chercheuse associée - Chaire Law, Accountability and Social Trust in AI, ANITI
Documents et liens associés
CJUE, 27 févr. 2025, aff. C 638/23, Amt der Tiroler Landesregierung
curia.europa.eu
Aller plus loin
ELnet DROIT DES AFFAIRES
Des réponses opérationnelles en droit des sociétés et des dirigeants ; droit commercial ; droit de la concurrence, de la consommation et de la distribution ; droit de la propriété intellectuelle et industrielle.
à partir de 485.56€ HT/mois
ELnet DROIT DES AFFAIRES
Autres articles sur le même thème
RGPD : le genre du client n'est pas une donnée nécessaire pour l'achat d'un billet de train
Droit des affaires
Protection des données personnelles (RGPD)
RGPD : le genre du client n'est pas une donnée nécessaire pour l'achat d'un billet de train
14 févr. 2025
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
Droit des affaires
Protection des données personnelles (RGPD)
Violation du RGPD, fondement possible de l'action pour concurrence déloyale
28 oct. 2024
L’intérêt commercial à l’épreuve de la base légale de l’intérêt légitime devant la CJUE
Droit des affaires
Protection des données personnelles (RGPD)
L’intérêt commercial à l’épreuve de la base légale de l’intérêt légitime devant la CJUE
15 oct. 2024
  2. Droit des affaires
Trouvez rapidement et gratuitement une réponse fiable à votre question juridique
Portail Lefebvre Dalloz
Jurisprudence
Open Lefebvre Dalloz
Nous contacter
Boutiques
Éditions Dalloz
Éditions Francis Lefebvre
Éditions Législatives
Formations Lefebvre Dalloz
À propos
Nous connaître
Mentions légales
politique de confidentialité
CGU
Paramétrage des cookies
© Éditions Francis Lefebvre, 2025
© Éditions Législatives, 2025
© Éditions Dalloz, 2025