► Full Reference: D. Gutmann, "Droit fiscal et obligation de compliance" (Tax Law and Compliance Obligation), in M.-A. Frison-Roche (dir.), L'Obligation de Compliance, Journal of Regulation & Compliance (JoRC) and Dalloz, coll. "Régulations & Compliance", 2024, to be published

____

► English summary of this contribution (done by the Journal of Regulation & Compliance): The author takes up the hypothesis of a Compliance Law defined by its Monumental Goals, the realisation of which is entrusted to "crucial operators" and confronts it with Tax Law. The link is particularly effective since these operators possess what governments need in this area: relevant Information.

Going further, Compliance Law can give rise to two types of obligations on the part of these operators, either towards others operators who need to be monitored, corrected or denounced, or towards themselves, when they need to make amends.

In the first part of this contribution, the author shows that Compliance Obligation reproduces the mechanism of a Tax Law which, for large companies, is embroiled in a process of increasing Globalisation. It enables Governments to aspire to the "Monumental Goals" of combating tax optimisation and impoverishing governments, victims of the erosion of the tax base, in the face of the strategies of companies that are more powerful than they are themselves, by using this very power of firms to turn it against them. Companies become the willing or de facto allies of governments, particularly when it comes to recovering tax debts, or assist them in their stated ambition to achieve social justice.  In this way, the State "manages" Tax Law by cooperating with companies.

In the second part, the author outlines the contours of this business Compliance Obligation, which is no longer simply a matter of paying tax. Beyond this financial obligation, it is more a question of mastering Information, particularly when multinational companies are subject to specific tax reporting obligations and are required to reveal their tax strategy, presumed to be transparent and coherent within the group : this legal presumption gives rise to obligations to seek information and ensure coherence, since a single tax strategy is not self-evident in a group.

The author emphasises that companies have accepted the principles governing these new compliance obligations and are tending to transform these obligations, particularly Transparency, into a communication strategy, in line with the ESG criteria that have been developed and a desire for fruitful relations with stakeholders. Therefore the tax relations developed by major companies are being extended not only to the tax authorities, but also to NGOs, by incorporating a strong ethical dimension. This is leading to new strategies, particularly in the area of Vigilance.

The author concludes: "A n’en pas douter, l’obligation de compliance existe bel et bien en matière fiscale." ("There is no doubt that the Compliance Obligation does exist in tax matters").

____

📕read the general presentation of the book, L'obligation de Compliance, in which this contribution is published

________

► Référence complète : M. Brochier & S. Darrois, "Les potentielles actions judiciaires en matière d’information extra-financière", Banque & Droit, n°216, juillet-août 2024, pp.10-12

____

► Résumé de l'article (fait par MAFR) : Les auteurs partent d'un constat : la multiplication des obligations pesant sur les entreprises en matière d’information extra-financière, laquelle entraîne mécaniquement une multiplication des potentiels faits générateurs de responsabilité de ces entreprises. Dans le même temps, bien qu'ils constatent pour l'heure une absence de procès en la matière, ils mettent l'accent sur le nid à contentieux que pourraient constituer ces règles.

À cet égard, les auteurs mettent en avant le risque d'instrumentalisation de ces actions en responsabilité, tantôt par des "acteurs de la société civile", tantôt par des actionnaires minoritaires ou dits "activistes", les uns et les autres cherchant à peser sur la gestion de la société. Ils relèvent également que les émetteurs d'information extra-financière pourraient être amenés à agir en responsabilité contre les agences de notation RSE, champ d'activité pour l'heure relativement peu réglementé alors même qu'il peut avoir des conséquences considérables pour l'entreprise. 

Ils concluent sur l'importance de l'information. Si l'information, en l'occurence extra-financière, est bien sûr l'objet des règles évoquées, ils relèvent qu'en cas de crise et face au risque de réputation la seule solution efficace est de communiquer rapidement au public une information claire, fiable et intelligible. Ils soulignent enfin que cette transparence demandée aux grandes entreprises quant à leur impact sur leur environnement est la contrepartie de leur puissance. 

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

► Full Reference: R. Sève, "Compliance Obligation and changes in Sovereignty and Citizenship", in M.-A. Frison-Roche (ed.), Compliance Obligation, Journal of Regulation & Compliance (JoRC) and Bruylant, "Compliance & Regulation" Serie, to be published

____

📘read a general presentation of the book, Compliance Obligation, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance - JoRC): 

The contribution describes "les changements de philosophie du droit que la notion de compliance peut impliquer par rapport à la représentation moderne de l’Etat assurant l’effectivité des lois issues de la volonté générale, dans le respect des libertés fondamentales qui constituent l’essence du sujet de droit." ("the changes in legal philosophy that the notion of Compliance may imply in relation to the modern representation of the State ensuring the effectiveness of laws resulting from the general will, while respecting the fundamental freedoms that constitute the essence of the subject of law").

The contributor believes that the definition of Compliance is due to authors who « jouer un rôle d’éclairage et de structuration d’un vaste ensemble d’idées et de phénomènes précédemment envisagés de manière disjointe.  Pour ce qui nous occupe, c’est sûrement le cas de la théorie de la compliance, développée en France par Marie-Anne Frison-Roche dans la lignée de grands économistes (Jean-Jacques Laffont, Jean Tirole) et dont la première forme résidait dans les travaux bien connus de la Professeure sur le droit de la régulation. » ( "play a role in illuminating and structuring a vast set of ideas and phenomena previously considered in a disjointed manner.  For our purposes, this is certainly the case with the theory of Compliance, developed in France by Marie-Anne Frison-Roche in the tradition of great economists (Jean-Jacques Laffont, Jean Tirole) and whose first form was in her well-known work on Regulatory Law").

Drawing on the Principles of the Law of the American Law Institute, which considers compliance to be a "set of rules, principles, controls, authorities, offices and practices designed to ensure that an organisation conforms to external and internal norms", he stresses that Compliance thus appears to be a neutral mechanism aimed at efficiency through a move towards Ex Ante. But he stresses that the novelty lies in the fact that it is aimed 'only' at future events, by 'refounding' and 'monumentalising' the matter through the notion of 'monumental goals' conceived by Marie-Anne Frison-Roche, giving rise to a new jus comune. Thus, "la compliance c’est l’idée permanente du droit appliquée à de nouveaux contextes et défis." ("Compliance is the permanent idea of Law applied to new contexts and challenges"). 

So it's not a question of making budget savings, but rather of continuing to apply the philosophy of the Social Contract to complex issues, particularly environmental issues. 

This renews the place occupied by the Citizen, who appears not only as an individual, as in the classical Greek concept and that of Rousseau, but also through entities such as NGOs, while large companies, because they alone have the means to pursue the Compliance Monumental Goals, would be like "super-citizens", something that the digital space is beginning to experience, at the risk of the individuals themselves disappearing as a result of "surveillance capitalism". But in the same way that thinking about the Social Contract is linked to thinking about capitalism, Compliance is part of a logical historical extension, without any fundamental break: "C’est le développement et la complexité du capitalisme qui forcent à introduire dans les entités privées des mécanismes procéduraux d’essence bureaucratique, pour discipliner les salariés, contenir les critiques internes et externes, soutenir les managers en place" ("It is the development and complexity of capitalism that forces us to introduce procedural mechanisms of a bureaucratic nature into private entities, in order to discipline employees, contain internal and external criticism, and support the managers in place") by forcing them to justify remuneration, benefits, and so on.

Furthermore, in the words of the author, "Avec les buts monumentaux, - la prise en compte des effets lointains, diffus, agrégés par delà les frontières, de l’intérêt des générations futures, de tous les êtres vivants - ,  on passe, pour ainsi dire, à une dimension industrielle de l’éthique, que seuls de vastes systèmes de traitement de l’information permettent d’envisager effectivement." ("With the Monumental Goals - taking into account the distant, diffuse effects, aggregated across borders, the interests of future generations, of all living beings - we move, so to speak, to an industrial dimension of ethics, which only vast information processing systems can effectively envisage").

This is how we can find a division between artificial intelligence and human beings in organisations, particularly companies, or in decision-making processes.

In the same way, individual freedom does not disappear with Compliance, because it is precisely one of its monumental goals to enable individuals to make choices in a complex environment, particularly in the digital space where the democratic system is now at stake, while technical mechanisms such as early warning will revive the right to civil disobedience, invalidating the complaint of "surveillance capitalism".

The author concludes that the stakes are so high that Compliance, which has already overcome the distinctions between Private and Public Law and between national and international law, must also overcome the distinction between Information and secrecy, particularly in view of cyber-risks, which requires the State to develop and implement non-public Compliance strategies to safeguard the future.

____

🦉This article is available in full text to those registered for Professor Marie-Anne Frison-Roche's courses

________

► Référence complète : B. Lecourt, "Des obligations d'information en matière de droit de l'homme et d'environnement au devoir de vigilance", in B. Lecourt (dir.) Lebvre - Dalloz, coll. "Thèmes et commentaires", 2025, pp

____

📗lire une présentation générale de l'ouvrage, Le devoir européen de vigilance, dans lequel cet article est publié

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

In principle, the very mechanism of the market is governed by freedom, the freedoms of the agents themselves - the freedom to undertake and contract - and the competitive freedom that marks the market itself, the convergence of these freedoms allowing the self-regulated functioning of The "market law", namely the massive encounter of offers and demands that generates the right price ("fair price").

► Full Reference: R. Sève, "L'Obligation de Compliance et les mutations de la souveraineté et de la citoyenneté" ("Compliance Obligation and changes in Sovereignty and Citizenship"), in M.-A. Frison-Roche (ed.), L'obligation de Compliance, Journal of Regulation & Compliance (JoRC) and Dalloz, coll. "Régulations & Compliance", 2024, forthcoming.

____

📕read the general presentation of the book, L'obligation de Compliance, in which this article is published.

____

► English Summary of this article (done by the Journal of Regulation & Compliance - JoRC) : The contribution describes "les changements de philosophie du droit que la notion de compliance peut impliquer par rapport à la représentation moderne de l’Etat assurant l’effectivité des lois issues de la volonté générale, dans le respect des libertés fondamentales qui constituent l’essence du sujet de droit." ("the changes in legal philosophy that the notion of Compliance may imply in relation to the modern representation of the State ensuring the effectiveness of laws resulting from the general will, while respecting the fundamental freedoms that constitute the essence of the subject of law").

The contributor believes that the definition of Compliance is due to authors who « jouer un rôle d’éclairage et de structuration d’un vaste ensemble d’idées et de phénomènes précédemment envisagés de manière disjointe.  Pour ce qui nous occupe, c’est sûrement le cas de la théorie de la compliance, développée en France par Marie-Anne Frison-Roche dans la lignée de grands économistes (Jean-Jacques Laffont, Jean Tirole) et dont la première forme résidait dans les travaux bien connus de la Professeure sur le droit de la régulation. » ( "play a role in illuminating and structuring a vast set of ideas and phenomena previously considered in a disjointed manner.  For our purposes, this is certainly the case with the theory of Compliance, developed in France by Marie-Anne Frison-Roche in the tradition of great economists (Jean-Jacques Laffont, Jean Tirole) and whose first form was in her well-known work on Regulatory Law").

Drawing on the Principles of the Law of the American Law Institute, which considers compliance to be a "set of rules, principles, controls, authorities, offices and practices designed to ensure that an organisation conforms to external and internal norms", he stresses that Compliance thus appears to be a neutral mechanism aimed at efficiency through a move towards Ex Ante. But he stresses that the novelty lies in the fact that it is aimed 'only' at future events, by 'refounding' and 'monumentalising' the matter through the notion of 'monumental goals' conceived by Marie-Anne Frison-Roche, giving rise to a new jus comune. Thus, "la compliance c’est l’idée permanente du droit appliquée à de nouveaux contextes et défis." ("Compliance is the permanent idea of Law applied to new contexts and challenges"). 

So it's not a question of making budget savings, but rather of continuing to apply the philosophy of the Social Contract to complex issues, particularly environmental issues. 

This renews the place occupied by the Citizen, who appears not only as an individual, as in the classical Greek concept and that of Rousseau, but also through entities such as NGOs, while large companies, because they alone have the means to pursue the Compliance Monumental Goals, would be like "super-citizens", something that the digital space is beginning to experience, at the risk of the individuals themselves disappearing as a result of "surveillance capitalism". But in the same way that thinking about the Social Contract is linked to thinking about capitalism, Compliance is part of a logical historical extension, without any fundamental break: "C’est le développement et la complexité du capitalisme qui forcent à introduire dans les entités privées des mécanismes procéduraux d’essence bureaucratique, pour discipliner les salariés, contenir les critiques internes et externes, soutenir les managers en place" ("It is the development and complexity of capitalism that forces us to introduce procedural mechanisms of a bureaucratic nature into private entities, in order to discipline employees, contain internal and external criticism, and support the managers in place") by forcing them to justify remuneration, benefits, and so on.

Furthermore, in the words of the author, "Avec les buts monumentaux, - la prise en compte des effets lointains, diffus, agrégés par delà les frontières, de l’intérêt des générations futures, de tous les êtres vivants - ,  on passe, pour ainsi dire, à une dimension industrielle de l’éthique, que seuls de vastes systèmes de traitement de l’information permettent d’envisager effectivement." ("With the Monumental Goals - taking into account the distant, diffuse effects, aggregated across borders, the interests of future generations, of all living beings - we move, so to speak, to an industrial dimension of ethics, which only vast information processing systems can effectively envisage").

This is how we can find a division between artificial intelligence and human beings in organisations, particularly companies, or in decision-making processes.

In the same way, individual freedom does not disappear with Compliance, because it is precisely one of its monumental goals to enable individuals to make choices in a complex environment, particularly in the digital space where the democratic system is now at stake, while technical mechanisms such as early warning will revive the right to civil disobedience, invalidating the complaint of "surveillance capitalism".

The author concludes that the stakes are so high that Compliance, which has already overcome the distinctions between Private and Public Law and between national and international law, must also overcome the distinction between Information and secrecy, particularly in view of cyber-risks, which requires the State to develop and implement non-public Compliance strategies to safeguard the future.

________

► Full Reference: Auteur, "Titre", in M.-A. Frison-Roche (ed.), Compliance Obligation, Journal of Regulation & Compliance (JoRC) and Bruylant, "Compliance & Regulation" Serie, to be published

____

📘read a general presentation of the book, Compliance Obligation, in which this article is published

____

► Summary of the article (done by the Journal of Regulation & Compliance - JoRC): The author takes up the hypothesis of a Compliance Law defined by its Monumental Goals, the realisation of which is entrusted to "crucial operators" and confronts it with Tax Law. The link is particularly effective since these operators possess what governments need in this area: relevant Information.

Going further, Compliance Law can give rise to two types of obligations on the part of these operators, either towards others operators who need to be monitored, corrected or denounced, or towards themselves, when they need to make amends.

In the first part of this contribution, the author shows that Compliance Obligation reproduces the mechanism of a Tax Law which, for large companies, is embroiled in a process of increasing Globalisation. It enables Governments to aspire to the "Monumental Goals" of combating tax optimisation and impoverishing governments, victims of the erosion of the tax base, in the face of the strategies of companies that are more powerful than they are themselves, by using this very power of firms to turn it against them. Companies become the willing or de facto allies of governments, particularly when it comes to recovering tax debts, or assist them in their stated ambition to achieve social justice.  In this way, the State "manages" Tax Law by cooperating with companies.

In the second part, the author outlines the contours of this business Compliance Obligation, which is no longer simply a matter of paying tax. Beyond this financial obligation, it is more a question of mastering Information, particularly when multinational companies are subject to specific tax reporting obligations and are required to reveal their tax strategy, presumed to be transparent and coherent within the group : this legal presumption gives rise to obligations to seek information and ensure coherence, since a single tax strategy is not self-evident in a group.

The author emphasises that companies have accepted the principles governing these new compliance obligations and are tending to transform these obligations, particularly Transparency, into a communication strategy, in line with the ESG criteria that have been developed and a desire for fruitful relations with stakeholders. Therefore the tax relations developed by major companies are being extended not only to the tax authorities, but also to NGOs, by incorporating a strong ethical dimension. This is leading to new strategies, particularly in the area of Vigilance.

The author concludes: "A n’en pas douter, l’obligation de compliance existe bel et bien en matière fiscale." ("There is no doubt that the Compliance Obligation does exist in tax matters").

____

🦉This article is available in full text to those registered for Professor Marie-Anne Frison-Roche's courses

________

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law

🌐subscribe to the Video Newsletter MAFR Surplomb

🌐subscribe to the Newsletter MaFR Droit & Art

____

► Full Reference: M.-A. Frison-Roche, "L'enjeu de la crédibilité des rapports de durabilité. Temps long, Simplicité et Stratégie" (The credibility of sustainability reports. Time, Simplicity and Strategy), concluding speech, in Rencontres de la Haute Autorité de l'Audit (H2A), 2025,  Mise en œuvre de la directive CSRD. Premiers constats et perspectives (Annual Manifestation of the French Audit Regulatory Body Haute Autorité de l'Audit - H2A, Implementation of the CSRD directive. Initial findings and outlook),, 2 July 2025, La Défense, 1pm-6pm

____

This manifestation, which takes place face-to-face with simultaneous translation, begins with a presentation by Florence Peybernès, President of the French High Audit Authority ( Haute Autorité de l'Audit -H2A).

It is followed by 3 round-table discussions:

🪑🪑🪑 Round table 1: Feedback on the first appointments

🪑🪑🪑 Round table 2: Cross-perspectives between preparers, verifiers and stakeholders

🪑🪑🪑 Round table 3: Perspectives for CSRD

It is following on from this that the more legal, more judicial perspective, in an articulation between Ex Ante and Ex Post, will take shape.

____

► English summary of the speech, as prepared : n view of the information available at the time of preparation for this event, the considerable interest aroused by the CSRD, and also its contestation, which led to its modification, is it counter-intuitive in view of the technicality of the remarks, the flood of criticism and the number of pages one reads, the impression of the weight, constraints and uselessness of the thing which would deprive companies of their freedom, but what emerges rather is Simplicity. Why: because the sustainability report is only a tool and it is the goal it serves that needs to be considered (more generally that's how the judge looks at it), a tool that serves a European strategy (Green Deal, sustainable finance). It is this strategy that needs to be identified, and the company has a free hand in it. What we are looking at the company in its contribution to this goal that is simple, a contribution which it can, in information that is admittedly standardised, draw the outlines of

Long-term and Strategy: Investors and stakeholders are not hostile to this approach: the key is the credibility of the information made available. Because Long-Term Thinking puts the future at the centre, and we don't know what that future will be. This essential element, which the courts have recalled in relation to Vigilance Obligation, must also be borne in mind, because it is first and foremost a question of providing information about the future.

To express the Information they want to give on this subject, companies need to understand the Goal of the European Plan (where Simplicity lies), to adjust their own plan to it (under the more familiar term of "Strategy") the councils and lawyers need to help them with this; to blend their strategies with the European strategy, to rely on the authorities and the auditors so that what they say is credible. Credibility is at the heart of it, which is why auditors are at the heart of it.

Because the only obligation they have is to say. Not to do. The CSRD should not be interpreted as imposing obligations on the companies subject to it to do things (such as the obligation of vigilance generates); the CSRD only imposes an obligation on them to say things. The CSRD imposes on them only an obligation to inform. While this may be onerous, standardised and certified, there is no obligation to do or disclose anything. Moreover, that is part of the company's own strategy, a strategy over which the company retains full control. In this respect, although standardised, the information is free and it is the credibility of the information that is crucial, but not participation in a plan whose terms would be written by the Authorities or the stakeholders.

Therefore, after learning from each other, it seems that there are three fairly simple things that are sometimes buried under the complication of the details accumulated and the violence of the arguments exchanged around the European Omnibus package. These three points will be developed at the end of the round-tables.

The first is the simplicity of the breadcrumb trail of credible, accessible information imposed by the European Union to put the Green Deal into practice. This breadcrumb trail is held in particular by the various regulators.

The second is the existence of a single, simple obligation on the part of the company: to say what it has done, is doing and plans to do, without being obliged to do anything in the European Action Plan (the CRSD does not forcibly enroll companies in the European action plan). This limitation to an obligation to say is essential. Its articulation with obligations to act, arising in particular from texts on Vigilance, or even identical terms, must not lead to confusion in qualifications.

The third is the benefit that the company derives from the articulation of a double "singular strategy": that of the European Union, which wants to build its future, a strategy of the Union to which it is free to contribute or not to contribute, and that of its own strategy which is articulated with the first and in which green gives way to many other colours according to the will of the company.

► English Summary of speech, as made with regard to what effectively was said during the 2 round tables:  During the event itself, I preferred to place myself rather in the direct continuation of what had been said.  In the fifteen minutes allotted, this was the reason for not proceeding in this way, but rather to highlight the fact that what has emerged, all these efforts, uncertainty, trial and error and goodwill to elaborate that went into drawing up the first sustainability reports, runs the risk of being erased because in retrospect, in 2 or 5 years' time, particularly if a lawsuit were be brought, we will have the impression that everything was self-evident, that we knew everything, that everything was clear and decided. And it's that future, which will be the future of the judge who will be called upon by a stakeholder, a regulator, a prosecutor, who always takes the past for granted, that we have to think about. We need to think in terms of evidence. Evidence of uncertainty. And always remember that the sustainability report is also a piece of evidence. Which will fuel liability claims, disputes over information, and so on.

Plus encore, parce que le report de durabilité n'est qu'un outil, pour une stratégie, qui est une stratégie d'ensemble, où la CSRD n'est qu'un élément du puzzle, des éléments du rapport de durabilité peuvent être pris pour être utilisés plus tard pour alimenter d'autres documents et rapports, et d'autres litiges. Cela est notamment le cas du plan de vigilance, puisque la cartographie des risques est souvent commune au rapport de durabilité et au plan de vigilance, ce qui est logique puisque la CSRD et la CS3D se font miroir dans le grand plan d'action de l'Union que constitue le Pacte vert. Mais cela est amplifié par les entreprises, qui parfois confondent l'un et l'autre, dans la présentation même au sein du rapport de gestion. Il est pourtant essentielle de distinguer nettement l'obligation de dire (rapport de durabilité) et l'obligation de faire (plan de vigilance). L'ambiguïté des "engagements" accroît cela. Il est essentiel de veiller à un travail ex ante entre expert de la gestion, de la finance, de l'audit et du droit pour éviter que les points de contact ne se transforment en confusions, maintenant et /ou plus tard, confusions qui pourraient être préjudiciables à tous.

________

Référence complète : Cons. const., DC n°2025-885 12 juin 2025, Loi visant à sortir la France du piège du narcotrafic

____

Lire la décision

____

🌐Lire le dossier relatif à la décision

________

🌐suivre Marie-Anne Frison-Roche sur LinkedIn

🌐s'abonner à la Newsletter MAFR Regulation, Compliance, Law

🌐s'abonner à la Newsletter en vidéo MAFR Surplomb

🌐s'abonner à la Newsletter MaFR Droit & Art

____

► Référence complète : M.-A. Frison-Roche, "Appréhender la CSRD à travers sa ratio legis", synthèse de CSRD : une nouvelle grammaire pour l'économie de la durabilité, colloque organisé par le Centre de recherches Louis Josserand sous la direction de Luc-Marie Augagneur, Faculté de Droit, Université Jean Moulin - Lyon 3, 8 avril 2025, 

____

Cette conférence constitue l'intervention de synthèse du colloque. C'est pourquoi elle a été construite à partir d'une méthode qui lui est propre à savoir la recherche et le respect de ce qui a justifié l'adoption de la CSRD, tout en s'appuyant sur chacun des propos qui ont été présentés lors de cette journée pour en rendre compte et les mettre en perspective de cette idée. 

____

🧮consulter le programme complet de cette manifestation

____

🪑🪑🪑Participent notamment également à cette manifestation :

🪑Jean-Christophe Roda

🪑Luc-Marie Augagneur

🪑Gilles Martin

🪑Grégoire Leray

____

► Résumé de l'intervention : 

________

🌐follow Marie-Anne Frison-Roche sur LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law 

🌐subscribe to the Video Newsletter MAFR Surplomb

____

► Full Reference: M.-A. Frison-Roche, Who is responsible for making the Compliance provision effective? Is it the company or the public authority? Example of data: CE, 27 January 2025, B. c/ CNIL, Working Paper, February 2025.

____

🎤 This Working Paper was developed as a basis for the Overhang👁 video  on 8 February 2025 : click HERE (in French)

____

🎬🎬🎬In the collection of the Overhangs👁 It falls into the News category.

►Watch the complete collection of the Overhangs👁 : click HERE

____

► Summary of this Working Paper: In its decision of 27 January 2025, B. v CNIL, the French Administrative Supreme Court (Conseil d'État ) had to provide a solution to a case that the Compliance rules applicable to data had not expressly provided for. Can a person who believes that another person has failed to fulfill their obligations under the GDPR refer the matter to the French Data Protection Regulator (CNIL) and not the data controller?

The Conseil d'État considers that the question is clear and that there is no point in referring a preliminary question to the ECJ. Indeed, the texts require the person alleging that his or her right has been infringed to first contact the data controller to have the information deleted before subsequently referring the matter to the CNIL. Furthermore, this case involved personal information inserted by doctors in an expert report submitted to a court. The Conseil d'Etat agreed with the CNIL that it was not required to review and assess the evidence, which is the role of the court.

This shows that, while the right to alert can be used to refer cases directly to the administrative authorities, here the specific takes precedence over the general, with the spirit of the Law entrusting the direct preservation of rights to the data controller, with the CNIL's supervisory and sanctioning role coming only at a later stage. This illustrates the more general nature of Compliance Law, which relies primarily on the operators themselves. Furthermore, as a melting pot of various subjective rights, in this case the right to erasure but also the right to contribute to the debates, the Conseil d'Etat stresses that it is the role of the judicial judge to ensure the fairness of the debates.

____

🔓read the developments below⤵️

► Référence complète : M.-A. Frison-Roche., "Description d'un risque systémique : Description d'un risque systémique : 🎬𝑲𝒆𝒓𝒗𝒊𝒆𝒍 - 𝒖𝒏 𝒕𝒓𝒂𝒅𝒆𝒓 - 𝟓𝟎 𝒎𝒊𝒍𝒍𝒊𝒂𝒓𝒅𝒔", billet décembre 2024.

🎞️voir le film-annonce 

► Référence complète : Th. Favario, "Le contenu du "rapport de durabilité"", JCP E, 7 nov. 2024, n° 45, doss. 1319, pp. 28-33

____

► Résumé de l'article (fait par l'auteur) : "Mesure emblématique de la directive du 14 décembre 2022 (directive CSRD) désormais transposée en droit interne, le « rapport de durabilité » complète l'information due par les sociétés les plus importantes. Tenues d'y rendre compte de la manière dont elles intègrent « les enjeux de durabilité », ce rapport impose en creux à ces sociétés de s'inscrire dans une dynamique de « durabilité » de nature à influer sur leur organisation et leur activité.".

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law

____

► Full Reference: M.-A. Frison-Roche, "Naissance d'une branche du Droit : le Droit de la Compliance" ("Birth of a branch of Law: Compliance Law"), in Mélanges offerts à Louis Vogel. La vie du droit, LexisNexis - Dalloz - LawLex - LGDJ, 2024, pp.177-188.

____

📝read the article (in French)

____

🚧read the bilingual Working Paper which is the basis of this article, with additional developments, technical references and hyperlinks

____

► English Summary of the article:  The study focuses on the various movements that have given rise to Compliance Law, with particular emphasis on Competition Law.

After a preliminary reflection on the construction of the legal system into branches of Law, their classification in relation to each other, the difficulty encountered in this respect by Economic Law, and the various movements that give rise to one of them, the diversity of which the branch subsequently keeps track of, the study is constructed in 4 parts.

To find out what gave rise to Compliance Law, the first part invites everyone to reject the narrow perspective of a definition that is content to define it by the fact of "complying" with the applicable regulations in the sens to obey them automatically. This has the effect of increasing the effectiveness of the regulations, but it does not produce a branch of Law, being only an efficiency tool like any other.

The second part of the study aims to shed light on what appears to be an "enigma", because it is often claimed that this is the result of a flexible method through the "soft law", or of an American regulation (for instance FCPA), or of as many regulations as there are occasions to make. Instead, it appears that in the United States, in the aftermath of the 1929 crisis, it was a question of establishing an authority and rules to prevent another atrocious collapse of the system, while in Europe, in 1978, in memory of the use of files about Jews, it was a question of establishing an authority and rules to prevent an atrocious attack on human rights. A common element that aims for the future ("never again"), but not the same object of preventive rejection. This difference between the two births explains the uniqueness and diversity of the two Compliance Law, the tensions that can exist between the two, and the impossibility of obtaining a global Compliance Law.

The third part analyses the way in which Competition Law has given rise to conformity mechanisms: they had only constituted a secondary branch which is a guarantee of conformity with competition regulations. Developed in particular through the soft law issued by the competition authorities, the result is a kind of "soft obedience", a well-understood collaboration of a procedural type through which the company educates, monitors and even sanctions, without going outside Competition Law, of which compliance  (in the sens of conformity) is the appendix. The distance between a conformity culture and Compliance Law can be measured here.

The fourth part aims to show that Competition Law and Compliance Law are two autonomous and articulated branches of Law. Since Compliance Law is a autonomous and strong branch of Law built around Monumental Goals, in particular the sustainability of systems and the preservation of the human beings involved so that they are not crushed by these systems  but benefit from them : the current challenge of European integration is to build the pillar of Compliance Law alongside the competitive pillar. Jurisdictions are in the process of doing this and articulating them.

________

► Référence complète : H2A, Lignes directrices sur la mission de certification des informations en matière de durabilité et de contrôle des exigences de publication des informations prévues à l'article 8 du Règlement 2020/852, octobre 2024.

____

Lire les lignes directrices

____

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law

____

► Full Reference: M.-A. Frison-Roche, "Pourquoi les textes et la pratiques sur le rapport de durabilité vont engendrer un Contentieux Systémique" ("Why the texts and practices on sustainability reporting will give rise to Systemic Litigation"), in Le rapport de durabilité : obligation et Contentieux Systémiques Émergents (The Sustainability Report: Emerging Systemic Obligation and Litigation), in cycle of conference-debates "Contentieux Systémique Émergent" ("Emerging Systemic Litigation"), organised on the initiative of the Cour d'appel de Paris (Paris Cour of Appeal), with the Cour de cassation (French Court of cassation), the Cour d'appel de Versailles (Versailles Court of Appeal), the École nationale de la magistrature - ENM (French National School for the Judiciary) and the École de formation des barreaux du ressort de la Cour d'appel de Paris - EFB (Paris Bar School), under the scientific direction of Marie-Anne Frison-Roche, September 19, 2024, 11h-12h30, Cour d'appel de Paris, Cassin courtroom

____

🧮see the full programme of this event

____

► English summary of the conference: Systemic Litigation refers to a specific category whose proposed category in 2021 refers to "cases" brought before the courts, sometimes specialised, sometimes under ordinary law courts: these are cases in which not only are the parties involved in their dispute but also a system is itself involved, with the procedure and the judge having to allow the interests of the system to be taken into consideration.

However, what is also the subject of new terminology, namely the "Sustainability Report", reflects the same legal revolution: the company must be able to assess not only its economic and financial performance, which is the subject of accounting, but also its development in terms of what it does externally in terms of ESG and what the outside world does about it.

In this perspective, the whole Information System is being transformed, and in different ways depending on the standards adopted, in the United States, Europe or elsewhere, either it is sufficient to obtain Information, no more, so that third parties can adjust their behaviour, mainly investments, or, as in Europe, Law includes a more substantial perspective, so that the company itself adjusts its own behaviour, its Governance, its position in the world, in a renewed relationship with its stakeholders. In Europe, saying and doing are intertwined, CSRD being twinned with CS3D.

Moreover, we can therefore consider that non-financial information, through the sustainability report, its assurance of credibility and the regulation of the audit carried out on it, is itself a system.

The sustainability report, inside the sustainability system, is then interwoven with other systems, which are themselves the subject of Emerging Systemic Litigation: firstly Vigilance, which has been studied as a field of systemic litigation, and then artificial intelligence field, which has been studied in the same way.

The Sustainability Report, insofar as it intersects with the sustainability obligation implied by the duty of Vigilance, may be attracted to the Systemic Litigation to which Vigilance gives rise. In the same way, algorithms can be a tool for data accumulating and matching ESG criteria, which could have the same attraction effect. If this happens, this dimension will have to be present and understood, for example through amici curiae mechanism, in conjunction with the Regulators and the professions concerned.

In addition, as in any emerging mechanism, and as we have seen for example in relation to rating agencies, Tort Law may interfere if the liability of either the company or the person who carried out the audit were to be appreciated, the systemic perspective then having to be integrated into the handling of the case, even before the non-specialised judge.

________

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law

____

► Full Reference: M.-A. Frison-Roche, "L’enjeu de la confidentialité des avis juridiques internes au regard des « Buts Monumentaux » de la Compliance" ("The issue of confidentiality of in-house legal opinions with regard to the "Monumental Goals" of Compliance"), in L’instauration d’un Legal Privilege à la française. Le temps de l’action au service de la souveraineté et de la compétitivité de nos entreprises, Association française des juristes d'entreprise (AFJE), Association nationale des juristes de banque (ANJB) et Cercle Montesquieu, March 7, 2024, Maison de la Chimie, 28 rue Saint Dominique Paris

____

📝On the same topic, read the article of Marie-Anne Frison-Roche "La compliance, socle de la confidentialité nécessaire des avis juridiques élaborés en entreprise" ("Compliance, the cornerstone of the confidentiality required for in-house legal opinions")

________

► Référence complète : Th. Baudesson, "L'évolution des rapports entre avocats et autorités de poursuites depuis l'introduction de la CJIP", in M.-A. Frison-Roche et M. Boissavy (dir.), Compliance et droits de la défense. Enquête interne – CJIP – CRPC, Journal of Regulation & Compliance (JoRC) et Dalloz, coll. "Régulations & Compliance", 2024, sous presse.

____

📕consulter une présentation générale de l'ouvrage, Compliance et droits de la défense. Enquête interne – CJIP – CRPC, dans lequel cet article est publié

____

► Résumé de la contribution (résumé fait par le Journal of Regulation & Compliance - JoRC) : L''auteur estime que la CJIP, évolution la plus marquante de la procédure pénale, fait  dialoguer le Barreau et les autorités de poursuite, qui passent d'une logique de confrontation à la coopération. Il s'agit d'une relation d'un type nouveau. Le Procureur concerné est avant tout le PNF qui bénéficie d'une expertise en la matière qu'il diffuse par sa soft law et apporte plus de sécurité aux entreprises. 

Il illustre ses propos notamment par la CJIP dite Airbus dans laquelle il y eut confrontation avec les pratiques anglaises et américaines dans des "enquêtes de coopérations" qui requièrent une confiance réciproque.  Mais il reconnaît les progrès qui restent à faire, aussi bien du côté des avocats qui en France semblent demeurer comme par principe en opposition aux magistrats et peu sensibles à ce qui pourrait être leur rôle dans la recherche de la vérité, que du côté des magistrats qui semblent percevoir les avocats comme des sortes de "mercenaires" dont il faudrait par principe se méfier. C'est pour cela que dans leur guide sur les enquêtes internes l'AFA et le PNF demandent que l'avocat qui mène l'enquête et celui qui assure la défense pénale de l'entreprise ne puisse pas  être le même, ce que l'auteur explique par cette défiance, présumant des enquêtes de complaisance, suspicion de principe que l'auteur regrette. De la même façon, le refus des magistrats de reconnaître le secret professionnel couvrant le rapport d'enquête paraît à l'auteur archaïque par rapport aux conceptions anglo-saxonnes, car le DOJ comme le SFO admettent aisément le legal privilege attaché à ce rapport. De ce fait, la France ne serait pas au même niveau d'État de Droit que les États-Unis et le Royaume-Uni. 

L'auteur en conclut que des progrès restent donc à faire pour que la France achève son évolution pour devenir pleinement attractive pour que des entreprises qui, confrontées à des pratiques répréhensibles, soient effectivement menées à entreprendre une démarche d'auto-révélation.

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

________

► Référence complète : M.-A. Frison-Roche, M. Mekki et J.-Ch. Roda (dir.), La Vigilance, pointe avancée de l'Obligation de Compliance, Journal of Regulation & Compliance (JoRC), Institut de Recherche Juridique de la Sorbonne (André Tunc - IRJS), Université Paris 1 Panthéon-Sorbonne, 5 décembre 2023.

____

🏗️Ce colloque s'inscrit dans le cycle de colloques organisé par le Journal of Regulation & Compliance (JoRC) et ses Universités partenaires, portant en 2023 sur le thème général de L'Obligation de Compliance.

____

📚Les travaux s'inséreront ensuite dans les ouvrages : 

📕L'obligation de Compliance, à paraître dans la collection 📚Régulations & Compliance, coéditée par le Journal of Regulation & Compliance (JoRC) et Dalloz, publié en langue française.

📘Compliance Obligation, à paraître dans la collection 📚Compliance & Regulation, coéditée par le Journal of Regulation & Compliance (JoRC) et Bruylant, publié en langue anglaise.

____

► Présentation générale du colloque : L'Obligation de Vigilance est difficile à cerner à travers la multiplicité des textes et les cas dans lesquels on peut l'appréhender. Cela est particulièrement perceptible à travers le mécanisme de Vigilance qui tout à la fois illustre, voire force le trait, de l'Obligation de Vigilance. A travers les textes internationaux, la loi française et les textes européens adoptés ou en gestation, les contraintes de vigilance, mais aussi les structures et actions mises en place que les entreprises ont organisé ainsi que les actions que les parties prenantes ont engagé, la Vigilance a mis en lumière des aspects de l'Obligation de Compliance, voire a modifié celle-ci. 

L'effet de révélation ainsi produit et le mouvement ainsi déclenché, dont les racines sont profondes et les effets systémiques très importants, justifient que l'on cerne davantage des mécanismes qui sont articulés entre eux alors qu'ils sont parfois perçus en silo, ce qui rend difficile la compréhension d'ensemble. De la même façon, parce que la Vigilance est la pointe avancée de l'Obligation de Compliance, l'on peut ainsi mieux distinguer et articuler ce qui relève des spécificités sectorielles, notamment en matière bancaire et financière ou bien en matière numérique, et les articuler avec ce que la Vigilance a, comme la Compliance, de plus général. Plus encore, l'intensité de la Vigilance varie selon les ambitions quelle porte et selon la position de l'entreprise assujettie, ce que traduisent les variations de qualification juridique qui vont du devoir à l'obligation pénalement sanctionnée. 

Les différents systèmes juridiques traduisent ces évolutions dans leur loi, leur jurisprudence et la pratique des entreprises et des parties prenantes de façon spécifique car ces différents techniques expriment des normes de comportement et de reddition de comptes dont les exigences probatoires, les conceptions de la responsabilité et les traductions institutionnelles à travers de possibles organes de régulation sont la traduction directe.

En conséquence, le colloque est construit en trois temps. Après une Introduction générale sur les rapports systémiques entre la Vigilance et la Compliance, une première partie porte sur la variation des Intensités  de la Vigilance, pointe avancée de la Compliance, une deuxième partie porte sur les Tensions que la Vigilance engendre ou exacerbe, une troisième partie porte sur les Modalités que la Vigilance emprunte dans les systèmes de Compliance.

____

____

► Interviennent : 

🎤Laurence Dubin, Professeure à l'Université Paris 1 Panthéon-Sorbonne

🎤Marie-Anne Frison-Roche, Professeure de Droit de la Régulation et de la Compliance, directrice du Journal of Regulation & Compliance (JoRC)

🎤Bernard Haftel, Professeur à l'Université Paris-Nord 

🎤Marie Lamoureux, Professeure à Aix-Marseille Université

🎤Grégoire Loiseau, Professeur à l'Université Paris 1 Panthéon-Sorbonne

🎤Véronique Magnier, Professeure à l'Université Paris-Saclay

🎤Gilles J. Martin, Professeur émérite à l'Université Côte d'Azur, membre du Groupe de Recherche en Droit, Économie, Gestion (GREDEG) du CNRS

🎤Mustapha Mekki, Professeur à l'Université Paris 1 Panthéon-Sorbonne

🎤Jean-Christophe Roda, Professeur à l'Université Jean Moulin Lyon 3

🎤Anne-Claire Rouaud, Professeure à l'Université Paris 1 Panthéon-Sorbonne

____

Lire une présentation détaillée de la manifestation ci-dessous⤵️

► Référence complète : D. Mainguy, Droit de la "guerre atypique". Réflexions sur les conflits non armés et non militaires (lawfare, guerre économique et informationnelle), LGDJ, 2023, 336 p.

____

📗lire la 4ième de couverture

____

📗lire le sommaire de l'ouvrage

____

📗lire la table des matières

____

► Résumé de l'ouvrage (fait par l'éditeur) : "Les logiques de conflictualité ont changé de forme depuis une vingtaine d’années. À des conflits majoritairement armés se surajoutent ou se substituent parfois des formes d’agressions non armées et non militaires, souvent ressenties comme de véritables actes de « guerre ». Ces actes sont par ailleurs généralement situés en deçà du « seuil » du droit des conflits armés. Or, précisément, il n’existe pas, de manière explicite en tout cas, de règles conventionnelles internationales permettant de contrôler ces nouvelles formes d’agressions.

Cet essai propose une réflexion générale sur ces nouvelles formes de guerre « atypique », d’abord pour identifier ses formes et ses acteurs, et surtout pour formuler une proposition, celle de l’hypothèse de l’existence d’un ensemble de règles internationales, issues de coutumes internationales, de jus cogens, susceptibles d’être mobilisées pour former un embryon de droit international des conflits non armés, le tout à l’origine de l’institution moderne de l’arbitrage international. Elles peuvent conduire à un contrôle des décisions prises et des actes de guerre atypique par des juridictions internes, internationales ou des arbitres internationaux. C’est déjà d’ailleurs le cas dans quelques situations spécifiques. Elles permettent de proposer un panorama de l’essentiel de ces actes de guerre atypique et d’en définir les termes : lawfare, guerre économique, guerre informationnelle, les règles applicables existantes ou à créer et un certain nombre de cas concrets, sans prétendre bien entendu à l’exhaustivité.".

________

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law

____

► Full Reference: M.-A. Frison-Roche, "La compliance, socle de la confidentialité nécessaire des avis juridiques élaborés en entreprise" ("Compliance, the cornerstone of the confidentiality required for in-house legal opinions"), D. 2023, p.

____

📝read the article (in French)

____

► English Summary of the article: The French Law about the Ministry of Justice's 2023-2027 Orientation and Programming  ("loi d'orientation et de programmation du ministère de la justice 2023-2027") had introduced into the French legal system the confidentiality of in-house lawyers' opinions (before the  French Constitutional Council, on a question of parliamentary procedure, annulled this disposition, thus leaving the question still open).

 This development is necessary in order to respond to the injunction for companies to comply more and more with the regulations, which is itself only one of the tools of a wider movement: Compliance Law.

This branch of the law, notably through the French so-called Sapin 2 Act of 2016, the French Vigilance Act of 2017 and the European Digital Services Act (DSA), requires companies to implement the necessary means to satisfy the Monumental Goals contained in the laws or regulations. This presupposes, firstly, that companies have information (via alerts, risk mapping, vigilance, sustainability reports, etc.), enabling them to identify their conformity and non-conformity, so that they can, secondly, take effective action to put an end to current breaches, prevent future breaches and achieve the goals set by the Legislator.

This Compliance System requires that the information made available to managers is reliable and honest. However, if non-conformity is not analysed and communicated in a way that is protected by confidentiality, the company will prefer not to know about it and will therefore be unable to take appropriate action, which will deprive the social community of its power to act in the future. This is why the confidentiality of in-house lawyers' opinions is based on the very definition of Compliance Law itself.

________

► Référence complète : B. François, "La communication renouvelée: du reporting financier au reporting de durabilité", in F. Barrière et M. Zolomian (dir.), Le droit des sociétés saisi par le climat, JCP E, n° 39, 28 septembre 2023, pp. 27-34.

____

► Résumé de l'article (fait par l'auteur) : "Les entreprises sont aujourd’hui encouragées à aller au-delà de la publication statique d’informations environnementales, sociales et de gouvernance (ESG) en indiquant de manière dynamique où elles se situent sur cette trajectoire de la transition écologique et comment elles comptent progresser sur le court et le moyen termes avec l’ensemble de leurs parties prenantes. Par ailleurs, ces dernières, se méfiant de toute tentation d’éco- blanchiment (greenwashing) ou de blanchiment sociétal (corporate washing) de la part des entreprises, sont désireuses d’obtenir d’elles des informations fiables. Il s’ensuit une communication renouvelée.".

____

🦉Cet article est accessible en texte intégral pour les personnes inscrites aux enseignements de la Professeure Marie-Anne Frison-Roche

_________

🌐follow Marie-Anne Frison-Roche on LinkedIn

🌐subscribe to the Newsletter MAFR Regulation, Compliance, Law

____

► Full Reference: M.-A. Frison-Roche & Arnoldo Wald, "Le cas Petrobras, une juste adéquation de la responsabilité pour protéger les personnes impliquées dans des systèmes globaux" ("The Petrobras case: the right balance of responsibility to protect those involved in global systems"), RIDC, July-September 2023, No. 3, pp. 563-582.

____

► Summary of the article: This article briefly outlines the main aspects of corporate liability in the capital market under Brazilian law, arising from the company’s duty to inform shareholders and investors, followed by a commentary on the recent partial award in an arbitration brought by minority shareholders against Petrobras, which underlines the legitimacy of the minority shareholders to engage the company’s liability.

________

► Full Reference: J.-Ch. Roda, "Compliance, Internal Investigations and International Competitiveness: What are Risks for the French Companies (in the Light of Antitrust Law)?", in M.-A. Frison-Roche (ed.), Compliance Monumental Goals, Journal of Regulation & Compliance (JoRC) and Bruylant, "Compliance & Regulation" Serie, 2023, pp.355-368.

____

📘read a general presentation of the book, Compliance Monumental Goals, in which this article is published

____

► Summary of the article: The author draws on American and European Competition Law to measure whether internal investigations, as far as they provide factual elements, can provide foreign authorities and competitors, here American, with "sensitive information" (notably via leniency programs), and as such constitute a competitive handicap. But this turns out to be quite difficult, whereas compliance audits, for example under the legal duty of vigilance, can provide American litigants with useful information, drawn from internal documents, in particular the reports of compliance officers, which can be captured by procedures of discovery.

French Law remains weak in the face of these dangers, due to its refusal to recognise the legal privilege mechanism concerning these internal documents, contrary to American Law and the consequent effectiveness of discovery in international procedures, concerning internal documents, in particular resulting from internal investigations. Solutions have been proposed, the activation of a new conception of blocking statutes being complex, the prospect of adopting a legal privilege being more effective, but there would remain the hypothesis of an international conflict of privilege, American Law having a strict design of legal advice justifying it and judges checking that powerful companies do not use it artificially.

____

🦉This article is available in full text to those registered for Professor Marie-Anne Frison-Roche's courses

________

Référence complète : CJUE, 1ière ch.,  12 janv. 2023, RW  c.  Österreichische Post AG, C-154/21.

____

Lire l'arrêt.

_____

Fiche de l'arrêt : Dans un contentieux entre un particulier et une entreprise postale (RW c. Österreichische Post AG, la Cour suprême de l'Autriche a décidé le 18 février 2021 de saisir la CJUE d'une question préjudicielle sur le sens à donner au "droit d'accès de la personne concernée à ses données" (article 15 RGPD) : jusqu'où doivent aller les informations à lui communiquer sur les destinataires ou catégories de destinataires auxquelles ces informations sont communiquées par celui qui recueille ces informations.

considérant les observations présentées :

–        pour RW, par Me R. Haupt, Rechtsanwalt,

–        pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,

–        pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,

–        pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,

–        pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,

–        pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

 Le cadre juridique

3        Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :

« (4)      [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]

[...]

(9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(39)      Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]

[...]

(63)      Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]

[...]

(74)      Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4        L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6        L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :

« 1.      Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.      Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

[...]

5.      Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a)      exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b)      refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[...] »

7        L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e)      les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]

[...] »

8        L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[...]

e)      le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...] »

9        Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a)      les finalités du traitement ;

b)      les catégories de données à caractère personnel concernées ;

c)      les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d)      lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e)      l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f)      le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g)      lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h)      l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.      Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.      Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.      Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »

10      L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

11      Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a)      les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b)      la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c)      la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e)      les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f)      les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.      Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

12      L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

a)      l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c)      le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d)      la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

[...] »

13      L’article 19 du RGPD est ainsi libellé :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

14      Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :

« 1.      La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.      Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.      Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.      Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.      Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.      Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »

15      L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16      L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

17      Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.

18      En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.

19      RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.

20      Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

21      Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

22      RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.

23      Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.

24      Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.

25      En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.

26      Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.

27      Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

 Sur la question préjudicielle

28      Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.

29      À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).

30      S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.

31      À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.

32      Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.

33      Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.

34      En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).

35      Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.

36      En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.

37      En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).

38      En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).

39      Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.

40      Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

41      Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.

42      Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.

43      Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.

44      Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).

45      Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.

46      Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.

47      Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).

48      Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.

49      En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.

50      En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.

51      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

 Sur les dépens

52      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

Signatures

*      Langue de procédure : l’allemand.

ARRÊT DE LA COUR (première chambre)

12 janvier 2023 (*)

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Règlement (UE) 2016/679 – Article 15, paragraphe 1, sous c) – Droit d’accès de la personne concernée à ses données – Informations sur les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées – Limitations »

Dans l’affaire C‑154/21,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Oberster Gerichtshof (Cour suprême, Autriche), par décision du 18 février 2021, parvenue à la Cour le 9 mars 2021, dans la procédure

RW

contre

Österreichische Post AG,

LA COUR (première chambre),

composée de M. A. Arabadjiev, président de chambre, M. L. Bay Larsen, vice‑président de la Cour, faisant fonction de juge de la première chambre, MM. P. G. Xuereb, A. Kumin et Mme I. Ziemele (rapporteure), juges,

avocat général : M. G. Pitruzzella,

greffier : M. A. Calot Escobar,

vu la procédure écrite,

considérant les observations présentées :

–        pour RW, par Me R. Haupt, Rechtsanwalt,

–        pour Österreichische Post AG, par Me R. Marko, Rechtsanwalt,

–        pour le gouvernement autrichien, par MM. G. Kunnert, A. Posch et par Mme J. Schmoll, en qualité d’agents,

–        pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

–        pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de Mme M. Russo, avvocato dello Stato,

–        pour le gouvernement letton, par Mmes J. Davidoviča, I. Hūna et K. Pommere, en qualité d’agents,

–        pour le gouvernement roumain, par Mmes L.-E. Baţagoi, E. Gane et A. Wellman, en qualité d’agents,

–        pour le gouvernement suédois, par Mme H. Eklinder, M. J. Lundberg, Mmes C. Meyer-Seitz, A. M. Runeskjöld, M. Salborn Hodgson, Mmes R. Shahsavan Eriksson, H. Shev et M. O. Simonsson, en qualité d’agents,

–        pour la Commission européenne, par MM. F. Erlbacher et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 9 juin 2022,

rend le présent

Arrêt

1        La demande de décision préjudicielle porte sur l’interprétation de l’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO 2016, L 119, p. 1) (ci-après le « RGPD »).

2        Cette demande a été présentée dans le cadre d’un litige opposant RW à Österreichische Post AG (ci-après l’« Österreichische Post ») au sujet d’une demande d’accès à des données à caractère personnel en vertu de l’article 15, paragraphe 1, sous c), du RGPD.

 Le cadre juridique

3        Les considérants 4, 9, 10, 39, 63 et 74 du RGPD sont libellés comme suit :

« (4)      [...] Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. [...]

[...]

(9)      Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE [du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31),] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union [européenne], une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l’environnement en ligne. Les différences dans le niveau de protection des droits et libertés des personnes physiques, en particulier le droit à la protection des données à caractère personnel, à l’égard du traitement des données à caractère personnel dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union, fausser la concurrence et empêcher les autorités de s’acquitter des obligations qui leur incombent en vertu du droit de l’Union. Ces différences dans le niveau de protection résultent de l’existence de divergences dans la mise en œuvre et l’application de la directive 95/46/CE.

(10)      Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. [...]

[...]

(39)      Tout traitement de données à caractère personnel devrait être licite et loyal. Le fait que des données à caractère personnel concernant des personnes physiques sont collectées, utilisées, consultées ou traitées d’une autre manière et la mesure dans laquelle ces données sont ou seront traitées devraient être transparents à l’égard des personnes physiques concernées. Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. [...]

[...]

(63)      Une personne concernée devrait avoir le droit d’accéder aux données à caractère personnel qui ont été collectées à son sujet et d’exercer ce droit facilement et à des intervalles raisonnables, afin de prendre connaissance du traitement et d’en vérifier la licéité. [...] En conséquence, toute personne concernée devrait avoir le droit de connaître et de se faire communiquer, en particulier, les finalités du traitement des données à caractère personnel, si possible la durée du traitement de ces données à caractère personnel, l’identité des destinataires de ces données à caractère personnel, la logique qui sous-tend leur éventuel traitement automatisé et les conséquences que ce traitement pourrait avoir, au moins en cas de profilage. [...] Ce droit ne devrait pas porter atteinte aux droits ou libertés d’autrui, y compris au secret des affaires ou à la propriété intellectuelle, notamment au droit d’auteur protégeant le logiciel. Cependant, ces considérations ne devraient pas aboutir à refuser toute communication d’informations à la personne concernée. [...]

[...]

(74)      Il y a lieu d’instaurer la responsabilité du responsable du traitement pour tout traitement de données à caractère personnel qu’il effectue lui-même ou qui est réalisé pour son compte. Il importe, en particulier, que le responsable du traitement soit tenu de mettre en œuvre des mesures appropriées et effectives et soit à même de démontrer la conformité des activités de traitement avec le présent règlement, y compris l’efficacité des mesures. Ces mesures devraient tenir compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. »

4        L’article 1er du RGPD, intitulé « Objet et objectifs », dispose, à son paragraphe 2 :

« Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel. »

5        L’article 5 du RGPD, intitulé « Principes relatifs au traitement des données à caractère personnel », prévoit :

« 1.      Les données à caractère personnel doivent être :

a)      traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;

[...]

2.      Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité). »

6        L’article 12 du RGPD, intitulé « Transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée », énonce :

« 1.      Le responsable du traitement prend des mesures appropriées pour fournir toute information visée aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34 en ce qui concerne le traitement à la personne concernée d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant. Les informations sont fournies par écrit ou par d’autres moyens y compris, lorsque c’est approprié, par voie électronique. Lorsque la personne concernée en fait la demande, les informations peuvent être fournies oralement, à condition que l’identité de la personne concernée soit démontrée par d’autres moyens.

2.      Le responsable du traitement facilite l’exercice des droits conférés à la personne concernée au titre des articles 15 à 22. Dans les cas visés à l’article 11, paragraphe 2, le responsable du traitement ne refuse pas de donner suite à la demande de la personne concernée d’exercer les droits que lui confèrent les articles 15 à 22, à moins que le responsable du traitement ne démontre qu’il n’est pas en mesure d’identifier la personne concernée.

[...]

5.      Aucun paiement n’est exigé pour fournir les informations au titre des articles 13 et 14 et pour procéder à toute communication et prendre toute mesure au titre des articles 15 à 22 et de l’article 34. Lorsque les demandes d’une personne concernée sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, le responsable du traitement peut :

a)      exiger le paiement de frais raisonnables qui tiennent compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées ; ou

b)      refuser de donner suite à ces demandes.

Il incombe au responsable du traitement de démontrer le caractère manifestement infondé ou excessif de la demande.

[...] »

7        L’article 13 du RGPD, intitulé « Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée », prévoit, à son paragraphe 1 :

« Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :

[...]

e)      les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ; [...]

[...] »

8        L’article 14 du RGPD, intitulé « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée », dispose, à son paragraphe 1 :

« Lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée, le responsable du traitement fournit à celle-ci toutes les informations suivantes :

[...]

e)      le cas échéant, les destinataires ou les catégories de destinataires des données à caractère personnel ;

[...] »

9        Aux termes de l’article 15 du RGPD, intitulé « Droit d’accès de la personne concernée » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations suivantes :

a)      les finalités du traitement ;

b)      les catégories de données à caractère personnel concernées ;

c)      les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;

d)      lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;

e)      l’existence du droit de demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, ou une limitation du traitement des données à caractère personnel relatives à la personne concernée, ou du droit de s’opposer à ce traitement ;

f)      le droit d’introduire une réclamation auprès d’une autorité de contrôle ;

g)      lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;

h)      l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

2.      Lorsque les données à caractère personnel sont transférées vers un pays tiers ou à une organisation internationale, la personne concernée a le droit d’être informée des garanties appropriées, en vertu de l’article 46, en ce qui concerne ce transfert.

3.      Le responsable du traitement fournit une copie des données à caractère personnel faisant l’objet d’un traitement. Le responsable du traitement peut exiger le paiement de frais raisonnables basés sur les coûts administratifs pour toute copie supplémentaire demandée par la personne concernée. Lorsque la personne concernée présente sa demande par voie électronique, les informations sont fournies sous une forme électronique d’usage courant, à moins que la personne concernée ne demande qu’il en soit autrement.

4.      Le droit d’obtenir une copie visée au paragraphe 3 ne porte pas atteinte aux droits et libertés d’autrui. »

10      L’article 16 du RGPD, intitulé « Droit de rectification », dispose :

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. »

11      Aux termes de l’article 17 du RGPD, intitulé « Droit à l’effacement (« droit à l’oubli ») » :

« 1.      La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a)      les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b)      la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c)      la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d)      les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e)      les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f)      les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

2.      Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

[...] »

12      L’article 18 du RGPD, intitulé « Droit à la limitation du traitement », dispose, à son paragraphe 1 :

« La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

a)      l’exactitude des données à caractère personnel est contestée par la personne concernée, pendant une durée permettant au responsable du traitement de vérifier l’exactitude des données à caractère personnel ;

b)      le traitement est illicite et la personne concernée s’oppose à leur effacement et exige à la place la limitation de leur utilisation ;

c)      le responsable du traitement n’a plus besoin des données à caractère personnel aux fins du traitement mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice ;

d)      la personne concernée s’est opposée au traitement en vertu de l’article 21, paragraphe 1, pendant la vérification portant sur le point de savoir si les motifs légitimes poursuivis par le responsable du traitement prévalent sur ceux de la personne concernée.

[...] »

13      L’article 19 du RGPD est ainsi libellé :

« Le responsable du traitement notifie à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué conformément à l’article 16, à l’article 17, paragraphe 1, et à l’article 18, à moins qu’une telle communication [ne] se révèle impossible ou [n’]exige des efforts disproportionnés. Le responsable du traitement fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande. »

14      Selon l’article 21 du RGPD, intitulé « Droit d’opposition » :

« 1.      La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice.

2.      Lorsque les données à caractère personnel sont traitées à des fins de prospection, la personne concernée a le droit de s’opposer à tout moment au traitement des données à caractère personnel la concernant à de telles fins de prospection, y compris au profilage dans la mesure où il est lié à une telle prospection.

3.      Lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins.

4.      Au plus tard au moment de la première communication avec la personne concernée, le droit visé aux paragraphes 1 et 2 est explicitement porté à l’attention de la personne concernée et est présenté clairement et séparément de toute autre information.

5.      Dans le cadre de l’utilisation de services de la société de l’information, et nonobstant la directive 2002/58/CE [du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37)], la personne concernée peut exercer son droit d’opposition à l’aide de procédés automatisés utilisant des spécifications techniques.

6.      Lorsque des données à caractère personnel sont traitées à des fins de recherche scientifique ou historique ou à des fins statistiques en application de l’article 89, paragraphe 1, la personne concernée a le droit de s’opposer, pour des raisons tenant à sa situation particulière, au traitement de données à caractère personnel la concernant, à moins que le traitement ne soit nécessaire à l’exécution d’une mission d’intérêt public. »

15      L’article 79 du RGPD, intitulé « Droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant », énonce, à son paragraphe 1 :

« Sans préjudice de tout recours administratif ou extrajudiciaire qui lui est ouvert, y compris le droit d’introduire une réclamation auprès d’une autorité de contrôle au titre de l’article 77, chaque personne concernée a droit à un recours juridictionnel effectif si elle considère que les droits que lui confère le présent règlement ont été violés du fait d’un traitement de ses données à caractère personnel effectué en violation du présent règlement. »

16      L’article 82 du RGPD, intitulé « Droit à réparation et responsabilité » prévoit, à son paragraphe 1 :

« Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi. »

 Le litige au principal et la question préjudicielle

17      Le 15 janvier 2019, RW s’est adressé à l’Österreichische Post afin d’obtenir, sur le fondement de l’article 15 du RGPD, l’accès aux données à caractère personnel le concernant conservées ou ayant été conservées dans le passé par celle-ci et, en cas de communication des données à des tiers, l’identité de ces destinataires.

18      En réponse à cette demande, l’Österreichische Post s’est limitée à indiquer qu’elle utilise des données, dans la mesure autorisée par le droit, dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle propose ces données à caractère personnel à des partenaires commerciaux à des fins de marketing. Au demeurant, elle a renvoyé à un site Internet pour plus d’informations et concernant d’autres fins de traitement des données. Elle n’a pas communiqué à RW l’identité des destinataires concrets des données.

19      RW a assigné l’Österreichische Post devant les juridictions autrichiennes en demandant qu’il soit fait injonction à cette dernière de lui fournir, notamment, l’identité du ou des destinataires de ses données à caractère personnel ainsi communiquées.

20      Au cours de la procédure judiciaire ainsi engagée, l’Österreichische Post a informé RW que ses données à caractère personnel avaient été traitées à des fins de marketing et transmises à des clients, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et le commerce physique, des entreprises informatiques, des éditeurs d’adresses et des associations telles que des organisations caritatives, des organisations non gouvernementales (ONG) ou des partis politiques.

21      Les juridictions de première instance et d’appel ont débouté RW de son recours au motif que l’article 15, paragraphe 1, sous c), du RGPD, en ce qu’il se réfère aux « destinataires ou catégories de destinataires », accorderait au responsable du traitement la possibilité d’indiquer seulement à la personne concernée les catégories de destinataires, sans devoir désigner nommément les destinataires concrets auxquels les données à caractère personnel sont transmises.

22      RW a introduit un pourvoi en Revision auprès de l’Oberster Gerichtshof (Cour suprême, Autriche), la juridiction de renvoi.

23      Cette juridiction s’interroge sur l’interprétation de l’article 15, paragraphe 1, sous c), du RGPD, dans la mesure où le libellé de cette disposition ne permettrait pas clairement de savoir si celle-ci accorde à la personne concernée le droit d’avoir accès aux informations relatives aux destinataires concrets des données communiquées ou si le responsable du traitement dispose d’un choix discrétionnaire quant à la manière dont il entend donner suite à une demande d’accès à l’information sur les destinataires.

24      Ladite juridiction fait toutefois observer que la ratio legis de ladite disposition plaiderait plutôt en faveur de l’interprétation selon laquelle c’est la personne concernée qui a le choix de demander des informations relatives aux catégories de destinataires ou aux destinataires concrets de ses données à caractère personnel. Selon elle, toute interprétation contraire porterait gravement atteinte à l’effectivité des voies de recours dont dispose la personne concernée pour protéger ses données. En effet, dans le cas où les responsables disposeraient du choix d’indiquer aux personnes concernées les destinataires concrets ou seulement les catégories de destinataires, il serait à craindre que, en pratique, quasiment aucun d’entre eux ne fournira les informations relatives aux destinataires concrets.

25      En outre, contrairement à l’article 13, paragraphe 1, sous e), et à l’article 14, paragraphe 1, sous e), du RGPD, qui prévoient une obligation pour le responsable du traitement de fournir les informations qu’ils visent, l’article 15, paragraphe 1, de ce règlement mettrait l’accent sur la portée du droit d’accès de la personne concernée, ce qui tendrait également à indiquer, selon la juridiction de renvoi, que la personne concernée a le droit de choisir entre demander des informations sur les destinataires concrets ou sur les catégories de destinataires.

26      Enfin, la juridiction de renvoi ajoute que le droit d’accès prévu à l’article 15, paragraphe 1, du RGPD porte non pas uniquement sur les données à caractère personnel actuellement traitées mais également sur l’ensemble des données traitées dans le passé. À cet égard, elle précise que les considérations figurant dans l’arrêt du 7 mai 2009, Rijkeboer (C‑553/07, EU:C:2009:293), fondées sur la finalité du droit d’accès prévu par la directive 95/46, peuvent être transposées au droit d’accès visé à l’article 15 du RGPD, et cela d’autant plus qu’il peut être déduit des considérants 9 et 10 de celui-ci que le législateur de l’Union n’a pas entendu réduire le niveau de protection par rapport à cette directive.

27      Dans ces circonstances, l’Oberster Gerichtshof (Cour suprême) a décidé de surseoir à statuer et de poser à la Cour la question préjudicielle suivante :

« L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? »

 Sur la question préjudicielle

28      Par sa question préjudicielle, la juridiction de renvoi demande, en substance, si l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité concrète de ces destinataires.

29      À titre liminaire, il convient de rappeler que, selon une jurisprudence constante, l’interprétation d’une disposition du droit de l’Union requiert de tenir compte non seulement de ses termes, mais également du contexte dans lequel elle s’inscrit ainsi que des objectifs et de la finalité que poursuit l’acte dont elle fait partie (arrêt du 15 mars 2022, Autorité des marchés financiers, C‑302/20, EU:C:2022:190, point 63). En outre, lorsqu’une disposition du droit de l’Union est susceptible de faire l’objet de plusieurs interprétations, il convient de privilégier celle qui est de nature à sauvegarder son effet utile (arrêt du 7 mars 2018, Cristal Union, C‑31/17, EU:C:2018:168, point 41 et jurisprudence citée).

30      S’agissant, tout d’abord, du libellé de l’article 15, paragraphe 1, sous c), du RGPD, il convient de rappeler que cette disposition énonce que la personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès auxdites données à caractère personnel ainsi que les informations relatives aux destinataires ou catégories de destinataires auxquels ces données à caractère personnel ont été ou seront communiquées.

31      À cet égard, il y a lieu de relever que les termes « destinataires » et « catégories de destinataires » figurant dans cette disposition sont utilisés successivement, sans qu’il soit possible de déduire un ordre de priorité entre l’un et l’autre.

32      Ainsi, force est de constater que le libellé de l’article 15, paragraphe 1, sous c), du RGPD ne permet pas de déterminer, de manière univoque, si la personne concernée aurait le droit d’être informée, lorsque les données à caractère personnel la concernant ont été ou seront communiquées, de l’identité concrète des destinataires de celles-ci.

33      Ensuite, en ce qui concerne le contexte dans lequel s’inscrit l’article 15, paragraphe 1, sous c), du RGPD, il importe de rappeler, en premier lieu, que le considérant 63 de ce règlement prévoit que la personne concernée doit avoir le droit de connaître et de se faire communiquer, en particulier, l’identité des destinataires de ces données à caractère personnel et ne précise pas que ce droit pourrait être limité aux seules catégories de destinataires, ainsi que l’a relevé M. l’avocat général au point 23 de ses conclusions.

34      En deuxième lieu, il convient également de rappeler que, pour respecter le droit d’accès, tout traitement de données des personnes physiques à caractère personnel doit être conforme aux principes énoncés à l’article 5 du RGPD (voir, en ce sens, arrêt du 16 janvier 2019, Deutsche Post, C-496/17, EU:C:2019:26, point 57).

35      Or, au nombre de ces principes figure le principe de transparence visé à l’article 5, paragraphe 1, sous a), du RGPD, qui implique, ainsi qu’il ressort du considérant 39 de ce règlement, que la personne concernée dispose d’informations sur la manière dont ses données à caractère personnel sont traitées et que ces informations soient aisément accessibles et compréhensibles.

36      En troisième lieu, il convient de relever, ainsi que l’a souligné M. l’avocat général au point 21 de ses conclusions, que, à la différence des articles 13 et 14 du RGPD, qui fixent une obligation pour le responsable du traitement de fournir à la personne concernée les informations relatives aux catégories de destinataires ou aux destinataires concrets des données à caractère personnel la concernant lorsque celles-ci sont ou ne sont pas collectées auprès de la personne concernée, l’article 15 du RGPD prévoit un véritable droit d’accès en faveur de la personne concernée, de sorte que cette dernière doit disposer du choix d’obtenir soit les informations sur les destinataires spécifiques auxquels lesdites données ont été ou seront communiquées, lorsque cela est possible, soit celles concernant les catégories de destinataires.

37      En quatrième lieu, la Cour a déjà jugé que l’exercice de ce droit d’accès doit permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles sont traitées de manière licite (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C-141/12 et C-372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C-434/16, EU:C:2017:994, point 57), notamment qu’elles ont été communiquées à des destinataires autorisés (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C‑553/07, EU:C:2009:293, point 49).

38      En particulier, ce droit d’accès est nécessaire pour permettre à la personne concernée d’exercer, le cas échéant, son droit à la rectification, son droit à l’effacement (« droit à l’oubli »), son droit à la limitation du traitement, qui lui sont reconnus, respectivement, par les articles 16, 17 et 18 du RGDP (voir, par analogie, arrêts du 17 juillet 2014, YS e.a., C‑141/12 et C‑372/12, EU:C:2014:2081, point 44, ainsi que du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 57), ainsi que son droit d’opposition au traitement de ses données à caractère personnel, prévu à l’article 21 du RGPD, et son droit de recours en cas de dommage subi, prévu aux articles 79 et 82 du RGPD (voir, par analogie, arrêt du 7 mai 2009, Rijkeboer, C-553/07, EU:C:2009:293, point 52).

39      Ainsi, afin de garantir l’effet utile de l’ensemble des droits mentionnés au point précédent du présent arrêt, la personne concernée doit disposer, en particulier, d’un droit à être informée de l’identité des destinataires concrets dans le cas où ses données à caractère personnel ont déjà été communiquées.

40      Une telle interprétation est confirmée, en cinquième et dernier lieu, par la lecture de l’article 19 du RGPD qui prévoit, à sa première phrase, que le responsable du traitement notifie, en principe, à chaque destinataire auquel les données à caractère personnel ont été communiquées toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement et, à sa seconde phrase, que ce responsable fournit à la personne concernée des informations sur ces destinataires si celle-ci en fait la demande.

41      Ainsi, l’article 19, seconde phrase, du RGPD confère expressément à la personne concernée le droit d’être informée des destinataires concrets des données la concernant par le responsable du traitement, dans le cadre de l’obligation qu’a ce dernier d’informer tous les destinataires de l’exercice des droits dont cette personne dispose au titre de l’article 16, de l’article 17, paragraphe 1, et de l’article 18 du RGPD.

42      Il découle de l’analyse contextuelle qui précède que l’article 15, paragraphe 1, sous c), du RGPD constitue l’une des dispositions destinées à garantir la transparence des modalités de traitement des données à caractère personnel à l’égard de la personne concernée et permet à celle-ci, ainsi que l’a relevé M. l’avocat général au point 33 de ses conclusions, d’exercer les prérogatives prévues notamment aux articles 16 à 19, 21, 79 et 82 du RGPD.

43      Partant, il convient de considérer que les informations fournies à la personne concernée au titre du droit d’accès prévu à l’article 15, paragraphe 1, sous c), du RGPD doivent être les plus exactes possibles. En particulier, ce droit d’accès implique la possibilité pour la personne concernée d’obtenir de la part du responsable du traitement les informations sur les destinataires spécifiques auxquels les données ont été ou seront communiquées ou, alternativement, de choisir de se borner à demander des informations concernant les catégories de destinataires.

44      Enfin, s’agissant de la finalité que poursuit le RGPD, il convient de relever que ce règlement vise, notamment, ainsi qu’il ressort de son considérant 10, à assurer un niveau élevé de protection des personnes physiques au sein de l’Union (arrêt du 6 octobre 2020, La Quadrature du Net e.a., C-511/18, C-512/18 et C-520/18, EU:C:2020:791, point 207). À cet égard, ainsi que l’a relevé en substance M. l’avocat général au point 14 de ses conclusions, le cadre juridique général créé par le RGPD met en œuvre les exigences découlant du droit fondamental à la protection des données à caractère personnel protégé par l’article 8 de la charte des droits fondamentaux de l’Union européenne, notamment les exigences expressément prévues au paragraphe 2 de cet article (voir, en ce sens, arrêt du 9 mars 2017, Manni, C-398/15, EU:C:2017:197, point 40).

45      Or, cet objectif conforte l’interprétation de l’article 15, paragraphe 1, du RGPD figurant au point 43 du présent arrêt.

46      Dès lors, il résulte également de l’objectif poursuivi par le RGPD que la personne concernée a le droit d’obtenir du responsable du traitement des informations sur les destinataires concrets auxquels les données à caractère personnel la concernant ont été ou seront communiquées.

47      Cela étant, il importe, enfin, de souligner que, ainsi qu’il ressort du considérant 4 du RGPD, le droit à la protection des données à caractère personnel n’est pas un droit absolu. En effet, ce droit doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité, ainsi que la Cour l’a réaffirmé, en substance, au point 172 de l’arrêt du 16 juillet 2020, Facebook Ireland et Schrems (C‑311/18, EU:C:2020:559).

48      Partant, il peut être admis que, dans des circonstances spécifiques, il ne soit pas possible de fournir des informations sur des destinataires concrets. Dès lors, le droit d’accès pourra être limité à l’information sur les catégories de destinataires s’il est impossible de communiquer l’identité des destinataires concrets, en particulier lorsque ceux-ci ne sont pas encore connus.

49      En outre, il y a lieu de rappeler que, en vertu de l’article 12, paragraphe 5, sous b), du RGPD, le responsable du traitement peut, conformément au principe de responsabilité visé à l’article 5, paragraphe 2, de ce règlement ainsi qu’au considérant 74 de celui-ci, refuser de donner suite aux demandes de la personne concernée lorsque celles-ci sont manifestement infondées ou excessives, étant précisé qu’il incombe à ce même responsable du traitement de démontrer le caractère manifestement infondé ou excessif desdites demandes.

50      En l’occurrence, il ressort de la demande de décision préjudicielle que l’Österreichische Post a rejeté la demande introduite par RW sur le fondement de l’article 15, paragraphe 1, du RGPD, tendant à ce que celle-ci lui fournisse l’identité des destinataires auxquels elle avait communiqué les données à caractère personnel la concernant. Il appartiendra à la juridiction de renvoi de vérifier si, compte tenu des circonstances en cause au principal, l’Österreichische Post a établi le caractère manifestement infondé ou excessif de cette demande.

51      Eu égard à l’ensemble des considérations qui précèdent, il y a lieu de répondre à la question préjudicielle que l’article 15, paragraphe 1, sous c), du RGPD doit être interprété en ce sens que le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du RGPD, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

 Sur les dépens

52      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (première chambre) dit pour droit :

L’article 15, paragraphe 1, sous c), du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

doit être interprété en ce sens que :

le droit d’accès de la personne concernée aux données à caractère personnel la concernant, prévu par cette disposition, implique, lorsque ces données ont été ou seront communiquées à des destinataires, l’obligation pour le responsable du traitement de fournir à cette personne l’identité même de ces destinataires, à moins qu’il ne soit impossible d’identifier ces destinataires ou que ledit responsable du traitement ne démontre que les demandes d’accès de la personne concernée sont manifestement infondées ou excessives, au sens de l’article 12, paragraphe 5, du règlement 2016/679, auxquels cas celui-ci peut indiquer à cette personne uniquement les catégories de destinataires en cause.

Signatures

*      Langue de procédure : l’allemand.