Traitement des données personnelles par un journal officiel : qui est responsable ?

Dans un souci de protection des personnes, l’on sait que la CJUE retient une interprétation large de la notion de responsable de traitement (not., depuis le fameux arrêt Google Spain, v. parmi les arrêts récents, CJUE 5 déc. 2023, Nacionalinisvisuomenėssveikatos centras, aff. C-683/21 et Deutsche Wohnen, aff. C-807/21, D. 2023. 2193 ). En l’espèce, la question portait sur la responsabilité de l’organisme chargé du Journal officiel de l’État belge.

Dans cette affaire, une décision de réduction du capital social prise par l’assemblée extraordinaire d’une société à responsabilité limitée belge avait fait l’objet d’une publication légale. Conformément au code des sociétés belges, l’extrait de la décision avait été rédigé par un notaire (en l’occurrence, le notaire de l’associé majoritaire) qui l’avait transmis au greffe du tribunal compétent pour publication. Le greffe a communiqué l’extrait à la direction du Moniteur belge en vertu des dispositions légales pertinentes. Or, le notaire a commis l’erreur de laisser dans l’extrait des informations qui n’auraient pas dû être publiées à savoir un passage dans lequel sont indiqués le nom des deux associés de la société, dont celui de l’associé majoritaire, les montants qui leur ont été remboursés ainsi que leurs numéros de compte bancaire. L’associé majoritaire (personne physique) a, par l’intermédiaire de ce notaire et du délégué à la protection des données de ce dernier, entamé des démarches visant à obtenir la suppression de ce passage, conformément à son droit à l’effacement prévu à l’article 17 du RGPD. Le service public fédéral Justice (« SPF Justice »), auquel la direction du Moniteur belge est rattachée, a, par une décision du 10 avril 2019, refusé de répondre favorablement à la demande d’effacement. Saisie d’une plainte contre cette décision, l’Autorité de protection des données belge (APD) a commandé à SFF Justice de donner suite à ladite demande d’effacement. Le 22 avril 2021, l’État belge a saisi la cour d’appel de Bruxelles, qui est la juridiction de renvoi, en vue d’obtenir l’annulation de ladite décision. La Cour d’appel de Bruxelles a décidé de surseoir à statuer et de poser à la Cour deux questions préjudicielles :

« 1) L’article 4, [point] 7, du [RGPD] doit-il être interprété en ce sens qu’un Journal officiel d’un État membre – investi d’une mission de service public de publication et d’archivage de documents officiels, qui, en vertu de la législation nationale applicable, est chargé de publier les actes et documents officiels dont la publication lui est ordonnée par des instances publiques tierces, tels qu’ils sont communiqués par ces instances après qu’elles ont...