Saisie d’un renvoi préjudiciel du Verwaltungsgerichtshof (Autriche), la Cour de justice de l’Union européenne apporte une précision déterminante sur l’interprétation de l’article 4, point 7, du RGPD, relatif à la notion de « responsable du traitement », lorsqu’un État membre désigne directement une entité comme responsable par voie législative. L’affaire portait sur l’Amt der Tiroler Landesregierung (Office du gouvernement du Land du Tyrol), une entité administrative auxiliaire au service du gouverneur régional, dépourvue à la fois de personnalité juridique et de capacité juridique propre, mais investie par la loi du Land d’une mission d’appui administratif. Cette entité avait procédé, dans le contexte de la pandémie de COVID-19, à l’envoi de lettres de rappel de vaccination en exploitant des données issues du registre central des vaccinations et du registre des patients, opération jugée illicite par l’autorité autrichienne de protection des données.

La question posée à la Cour portait sur la compatibilité avec le RGPD d’une disposition nationale (article 2 du Tiroler Datenverarbeitungsgesetz) désignant l’Office comme responsable du traitement, alors même qu’il ne disposait pas de personnalité juridique et que la loi ne précisait pas les opérations de traitement ni leurs finalités.

La Cour répond que l’article 4, point 7, du RGPD ne s’oppose pas à une telle désignation, à la double condition (pt 49) que :

• l’entité désignée soit juridiquement et pratiquement apte à répondre aux obligations du RGPD pesant sur tout responsable du traitement, telles que la mise en œuvre de mesures techniques et organisationnelles appropriées, la tenue d’une documentation interne, la démonstration de conformité (accountability), la coopération avec l’autorité de contrôle, et la réponse aux demandes d’exercice des droits des personnes concernées, le tout dans le cadre prévu par le droit national ;
• la réglementation nationale détermine, explicitement ou au moins implicitement, l’« étendue » des traitements dont cette entité est responsable, c’est-à-dire que les finalités et les moyens puissent être déduits avec suffisamment de certitude du rôle, des missions et des attributions légales de l’entité concernée, sans qu’il soit nécessaire que chaque opération soit listée ou décrite individuellement.

Cette position s’inscrit dans la continuité de la jurisprudence (CJUE, 11 janv. 2024, État belge – Données traitées par un Journal officiel, C-231/22) et prolonge la logique fonctionnelle et finaliste du RGPD : le critère déterminant n’est pas la personnalité juridique formelle, mais la capacité effective d’endosser la responsabilité et d’assumer les obligations de conformité. La Cour rappelle que le responsable du traitement peut être une autorité publique, un service ou un autre organisme, même sans personnalité juridique, dès lors que le droit interne lui confère des compétences opérationnelles suffisantes pour agir en matière de protection des données. Le raisonnement de la Cour s’appuie également sur la logique d’accountability (art. 5, § 2, RGPD et consid. 74), qui impose à chaque responsable de démontrer le respect des principes de traitement, quelle que soit sa nature juridique, et sur l’exigence de sécurité juridique (consid. 7) : les personnes concernées doivent pouvoir identifier clairement l’entité tenue de garantir leurs droits.

La CJUE précise par ailleurs que la détermination des finalités et des moyens du traitement par la loi nationale peut être explicite ou implicite : il suffit que celle-ci découle de manière suffisamment certaine du cadre normatif applicable à l’entité concernée. Autrement dit, la désignation légale « en bloc » d’un service comme responsable n’exige pas une énumération exhaustive de toutes les opérations de traitement envisagées. La loi peut se borner à fixer un périmètre fonctionnel ou une mission d’intérêt public dont le traitement découle naturellement. Ce pragmatisme, fondé sur la finalité de protection, évite de paralyser les administrations dépourvues de personnalité juridique propre (par exemple, les directions ou services internes d’un ministère, d’un gouvernement régional ou d’un établissement public).

En pratique, cette décision sécurise la désignation légale des responsables de traitement au sein des administrations publiques, tout en rappelant que cette désignation n’exonère pas l’entité concernée de ses obligations matérielles au titre du RGPD. Elle invite les États membres et les entités publiques à formaliser et documenter leurs rôles respectifs dans la chaîne de responsabilité afin d’éviter toute dilution de la conformité. Les conséquences pratiques sont triples :

• les autorités nationales doivent documenter l’« étendue » des traitements relevant des missions légales confiées à chaque service (cartographie des traitements, politiques internes de gouvernance, actes de délégation), afin de garantir la traçabilité des responsabilités et de satisfaire au critère d’implicitation suffisamment certaine ;
• les entités désignées doivent s’assurer qu’elles disposent effectivement des moyens juridiques, humains et techniques leur permettant d’assumer les obligations du RGPD (registre, sécurité, formation, supervision, coopération avec la DPA) et, le cas échéant, solliciter une clarification législative ou réglementaire de leurs compétences ;
• il convient enfin de prévoir et formaliser la co-responsabilité d’autres acteurs (autorités de tutelle, exécutifs politiques, prestataires techniques) lorsque ceux-ci déterminent ou influencent les finalités et moyens des traitements, afin d’éviter les zones grises en matière de responsabilité et d’exercice des droits.

Par cette décision, la Cour confirme que la désignation légale d’un responsable de traitement peut porter sur un service administratif dépourvu de personnalité, dès lors que l’entité est apte à assumer les obligations du RGPD et que le droit national délimite, même implicitement, le périmètre des traitements concernés.