Le traitement de données à caractère personnel effectué par la commission des pétitions d’un parlement est soumis au règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (9 juillet)
Arrêt Land Hessen, aff. C-272/19
Saisie d’un renvoi préjudiciel par le Verwaltungsgericht Wiesbaden (Allemagne), la Cour de justice de l’Union européenne considère qu’une commission des pétitions d’un parlement régional doit être qualifiée comme responsable du traitement des données à caractère personnel. En effet, la Cour rappelle que le fait qu’une activité soit propre à l’Etat ou à une autorité publique ne suffit pas pour qu’une exception prévue par le règlement soit automatiquement applicable à une telle activité. En l’espèce, si les activités de la commission sont de nature publique et sont propres au Land, elles sont également de nature politique et administrative. La Cour ajoute qu’il ne ressort pas des éléments dont elle dispose qu’il s’agit d’activités correspondant à celles prévues à l’article 2 §2 du règlement qui définit son champ d’application. Quant aux doutes émis par la juridiction de renvoi sur sa propre indépendance à l’égard du pouvoir législatif et exécutif, la Cour considère au stade de la recevabilité que les éléments mis en avant ne sauraient suffire pour qu’il soit conclu que de tels doutes sont fondés. (PLB)
