CJUE : une commission des pétitions est un responsable de traitement (RGPD)

Une commission des pétitions du parlement d’un Etat fédéré d’un Etat membre est soumise au RGPD. Les personnes lui ayant présenté une pétition disposent donc d’un droit d’accès aux données personnelles qui les concernent.Un citoyen a présenté une pétition à la commission des pétitions du parlement d’un Land allemand. Il a demandé à cette commission l’accès aux données à caractère personnel le concernant, conservées par celle-ci dans le cadre du traitement de sa pétition. Sa demande est fondée sur le règlement général sur la protection des données (règlement 2016/679, RGPD).Le président du parlement du Land en question a rejeté sa demande, au motif que la procédure de pétition constitue une mission parlementaire et que le parlement n’est pas soumis au règlement général sur la protection des données.
Le tribunal administratif de Wiesbaden (Allemagne), saisi de l’affaire, a interrogé la CJUE sur ce point.
La Cour de justice de l’Union européenne, dans un arrêt rendu le 9 juillet 2020 (affaire C-272/19), indique que la commission des pétitions en question est effectivement soumise au RGPD.La CJUE estime qu’aucune des activités exercées par la commission ne correspond aux exceptions prévues par le RGPD. Cette commission, même si elle contribue indirectement à l’activité parlementaire, exerce aussi des activités politiques et administratives.Ainsi, la Cour juge que, dans la mesure où cette commission des pétitions du parlement d’un Etat fédéré d’un Etat membre détermine, seule ou avec d’autres, les finalités et les moyens du traitement des données à caractère personnel, cette commission doit être qualifiée de « responsable du traitement » au sens du RGPD.Les personnes concernées disposent donc d’un droit d’accès aux données à caractère personnel les concernant.