Selon l’avocate générale Medina, une personne concernée doit disposer d’un recours juridictionnel contre une autorité de contrôle indépendante lorsqu’elle exerce ses droits par l’intermédiaire de cette autorité. Une exception large et générale au droit d’accès direct aux données à caractère personnel en matière pénale n’est pas compatible avec le droit de l’Union.Dans ses conclusions du 15 juin 2023 (affaire C-333/22), l’avocate générale près la CJUE Laila Medina considère que, en vertu de la directive 2016/680 du 27 avril 2016, l’accès direct aux données à caractère personnel détenues par les autorités constitue la règle générale, tandis que l’accès indirect est l’exception.L’exercice indirect des droits par l’intermédiaire d’une autorité de contrôle constitue une garantie supplémentaire offerte aux personnes concernées lorsque des limitations s’appliquent.
Lorsque la personne concernée exerce indirectement ses droits par l’intermédiaire d’une autorité de contrôle, elle doit disposer d’un recours juridictionnel contre cette autorité en ce qui concerne la mission incombant à celle-ci de vérifier la licéité du traitement. À cet égard, le niveau d’information que l’autorité de contrôle peut communiquer à la personne concernée quant à l’issue de la vérification ne saurait toujours se limiter à l’information minimale selon laquelle cette autorité a procédé à toutes les vérifications nécessaires, mais peut varier en fonction des circonstances de l’affaire, à la lumière du principe de proportionnalité.
L’avocate générale Medina souligne que le droit belge transposant la directive 2016/680 établit un régime dérogeant au principe de l’exercice direct des droits des personnes concernées à l’égard de l’ensemble des données traitées par les services de police. En effet, compte tenu de la portée extrêmement large des données auxquelles s’applique le régime dérogatoire, ce régime établit une exception générale au droit d’accès direct. Un tel régime est incompatible avec la directive.
Compte tenu des voies de recours dont dispose la personne concernée, l’avocate générale estime que, dès lors que l’autorité de contrôle considère qu’elle ne saurait faire plus que communiquer les informations minimales, à savoir déclarer qu’elle a procédé à toutes les vérifications nécessaires, l’exercice du contrôle juridictionnel est impossible à moins que la juridiction chargée d’apprécier la décision de cette autorité ne soit en mesure d’examiner tous les motifs sur lesquels cette décision est fondée, ainsi que la décision du responsable du traitement de limiter l’accès. Dans un tel cas, les informations pertinentes doivent être mises à la disposition de cette juridiction.
Enfin, l’avocate générale Medina considère que l’article 17 de la directive, qui régit l’exercice indirect des droits par l’intermédiaire de l’autorité de contrôle, est compatible avec les droits fondamentaux à la protection des données personnelles et à un recours effectif, tels que prévus par la charte des droits fondamentaux, dès lors :- que l’autorité de contrôle peut, selon les circonstances, ne pas se borner à informer la personne concernée qu’elle a procédé à toutes les vérifications nécessaires ;- que cette personne dispose de la possibilité de soumettre à un contrôle juridictionnel l’action et l’appréciation effectuées par l’autorité de contrôle à son sujet au regard des obligations qui pèsent sur le responsable du traitement.
