CJUE

Le traitement de données à caractère personnel « nécessaire » à l’exercice d’un recours en indemnisation : pouvoir n’est pas devoir.

Le développement des technologies de communication a entrainé de la part des différentes institutions une volonté de créer un cadre protecteur pour les individus. La protection des données à caractère personnel a été directement consacrée dans les textes internationaux par l’adoption de la Convention 108 du Conseil de l’Europe en 1981[1]. Dans cette volonté d’harmoniser le droit à la protection des données et d’apporter de meilleures garanties, le Parlement européen et le Conseil ont adopté en 1995 la Directive 95/46[2] qui pose les bases communes d’un droit à la protection des données à caractère personnel[3]. Plus précisément, l’article 7 prévoit les conditions de licéité du traitement. Le point f) vise le traitement « nécessaire à la réalisation d’un intérêt légitime ».

En l’espèce, la Cour de justice de l’Union européenne a du se prononcer, suite à un renvoi préjudiciel, sur l’interprétation de l’article 7 sous f) de la directive 95/46 dans le cadre d’une procédure engagée suite à un accident de la circulation impliquant un trolleybus et un taxi. N’ayant pu obtenir une indemnisation par le biais de l’assurance du taxi au motif que l’accident avait été causé par son passager, la société de trolleybus (Rigas satiksme) a intenté une action civile afin d’obtenir réparation de son préjudice. La société Rigas satiksme a donc demandé aux services de police la copie des pièces du dossier constitué lors de la procédure administrative, souhaitant notamment obtenir l’identité, le numéro d’identification ainsi que l’adresse du passager[4]. Sa demande n’ayant été que partiellement accueillie, la société a saisi le tribunal administratif de district qui a ordonné la communication de ces données. Suite au pourvoi formé par les services de police nationale, la juridiction de renvoi a interrogé l’autorité de protection des données. Cette dernière a considéré que l’article 7 point 6 de la loi lettone transposant l’article 7 sous f) de la directive ne trouve pas à s’appliquer en l’espèce[5]. Considérant qu’un doute existait sur la notion même de « nécessité » telle que visée par l’article 7 sous f) de la directive, la juridiction de renvoi a posé deux questions préjudicielles à la Cour de justice. Elle l’interroge ainsi sur l’interprétation de l’article 7 sous f) ainsi que les conséquences liées au fait, qu’en l’espèce, la personne visée par le traitement est mineure.

Dans l’arrêt du 4 mai 2017, la Cour de justice de l’Union européenne a eu l’occasion de se prononcer sur la portée de l’article 7 sous f) qui pose une condition très large permettant de légitimer le traitement de données. Sans grande surprise, la Cour de justice affirme qu’il n’y a pas d’obligation de communiquer des données à caractère personnel au tiers souhaitant intenter une action en indemnisation (I.). Aussi, les Etats membres ont la faculté de prévoir la communication des données sur la base du droit interne (II.).

I. L’absence d’une obligation de communiquer les données à caractère personnel

En l’espèce, la juridiction de renvoi s’est interrogée sur la notion même de « nécessité » telle qu’envisagée par l’article 7 sous f) de la directive 95/46. Une analyse stricto sensu du texte (A) ainsi que l’étude de la jurisprudence antérieure (B) permettent à la Cour de justice de conclure à l’absence d’une obligation de communication des données litigieuses.

A. Une interprétation stricto sensu du texte

La Cour de justice rappelle dans un premier temps que le numéro d’identification et l’adresse constituent des données à caractère personnel au sens de la directive[6]. L’article 7 énumère de manière exhaustive les motifs pour lesquels une donnée à caractère personnel peut faire l’objet d’un traitement. Plus particulièrement, le point f) dudit article dispose que le traitement est licite s’il est « nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le tiers auxquels les données sont communiquées ». Interprété de manière littérale, cet article nous indique que le traitement « peut être effectué » ce qui n’implique pas d’obligation mais bien une faculté. La question est néanmoins intéressante puisque le point f) fait référence au traitement « nécessaire à la réalisation d’un intérêt légitime». Le refus de communiquer les données implique donc la non réalisation de cet intérêt pourtant légitime. Il est question en l’espèce de données nécessaire à l’action en justice du requérant. Sans avoir connaissance de l’identité et de l’adresse de la partie adverse, ce dernier ne pourra pas exercer son action. L’analyse de la jurisprudence antérieure permet d’appuyer cette interprétation.

B. Une interprétation confirmant les jurisprudences antérieures

La Cour de justice a eu à plusieurs reprises l’occasion de se prononcer sur des dispositions relatives aux données à caractère. Par exemple, dans l’arrêt du 29 janvier 2008 Promusicae[7], rendu en matière de télécommunication et protection des droits d’auteur, la Cour de justice a estimé que si le principe est celui de la confidentialité des données, les Etats peuvent prévoir des exceptions si la communication des données constitue « une mesure nécessaire, appropriée et proportionnée […] pour sauvegarder la sécurité nationale » (pt. 26)[8]. Saisie de la question de l’interprétation des dispositions de différentes directives, la Cour de justice a considéré qu’il ne s’agit là que d’une faculté et non d’une obligation de communication des données, ces dispositions ne revêtant pas un caractère « contraignant » (pt. 55)[9]. Cette interprétation ne semble néanmoins pas s’opposer à ce que les législations internes prévoient des cas dans lesquels la communication des données est obligatoire[10].

La Cour de justice affirme ici clairement que l’article 7 sous f) de la directive 95/46 n’impose pas non plus le traitement de données à caractère personnel nécessaires à une action en indemnisation. Cette interprétation s’inscrit dans la logique même de la directive qui vise à encadrer et limiter le transfert et la communication de données à caractère personnel dans le but d’en assurer une meilleure protection. S’il n’y a pas d’obligation de communication, cela reste toutefois une faculté pour les Etats membres sur la base du droit interne.

II. La faculté de communiquer les données à caractère personnel sur la base du droit interne

Il appartient aux Etats membres de prévoir les modalités de communication des données à caractère personnel sur la base de leur droit interne. Le traitement doit remplir trois conditions cumulatives. Il doit tout d’abord poursuivre un intérêt légitime et être nécessaire (A). Ensuite, les dispositions doivent être appréhendées au regard des droits et libertés fondamentaux (B).

A. Une faculté soumise à conditions

Aux termes de l’article 7 sous f) de la directive 95/46, le traitement de données à caractère personnel doit poursuivre un intérêt légitime et être nécessaire. La Cour de justice de l’Union européenne s’est déjà prononcée sur les notions d’intérêt légitime et de nécessité. Par exemple, dans l’arrêt Promusicae, la Cour de justice a jugé que les Etats membres ont la faculté de prendre des dispositions internes permettant la divulgation de données à caractère personnel si ces dernières sont nécessaires à un tiers dans l’exercice d’un droit[11]. Il s’agissait en l’espèce de l’accès aux données permettant d’exercer une action en justice dans le but de faire valoir son droit de propriété. Aussi, dans l’arrêt du 30 mai 2013 Worten[12], la Cour de justice affirme que la directive 95/46 ne s’oppose pas à ce qu’une législation interne impose dans certains cas le transfert de données à caractère personnel à une autorité s’il est nécessaire à cette dernière aux fins d’exercer ses missions. Si la notion d’intérêt légitime n’est pas strictement définie, le groupe de travail « article 29 »[13] a rendu récemment un avis sur la question définissant cet intérêt comme « l’enjeu plus large[14] poursuivi par le responsable du traitement, ou le bénéfice qu’il tire ou que la société pourrait tirer du traitement ». A noter que dans l’arrêt du 24 novembre 2001 ASNEF et FECEMD contre Administracion del Estado[15], la Cour de justice a précisé que s’il appartient aux Etats d’encadrer le traitement des données, ces derniers ne peuvent pas prévoir des dispositions plus restrictives que celles prévues par le droit de l’Union européenne et doivent veiller à consacrer l’harmonisation des législations.

La Cour de justice rappelle ici que si les Etats disposent d’une marge d’appréciation ils ne peuvent pas être plus stricts que le droit de l’Union et doivent impérativement rester en harmonie avec lui. En l’espèce, le droit Letton[16] transpose à l’identique l’article 7 de la directive 95/46 rappelant également la nécessaire pondération avec les droits fondamentaux.

B. Des dispositions à appréhender au regard des droits fondamentaux

La Cour de justice de l’Union européenne a calqué son raisonnement sur celui de la Cour européenne des droits de l’homme et a affirmé à plusieurs reprises la nécessité de trouver un équilibre entre les intérêts en présence notamment au regard des droits fondamentaux. C’est par exemple le cas dans l’arrêt Osterreichischer Rundfunk[17]. La Cour de justice a également rappelé l’importance d’apprécier cet équilibre au vu des circonstances de l’espèce jugeant ainsi que l’article 7 sous f) de la directive 95/46 s’oppose à ce qu’un Etat prévoit de manière « catégorique et généralisée » l’interdiction de traiter une catégorie de données sans que ne soient mis en balance les différents intérêts en présence[18]. Cette pondération des intérêts a abouti à l’invalidation par la Cour de justice de la directive 2006/24/CE dans l’arrêt du 8 avril 2014 Digital rights Irland[19]. La Cour a considéré que la directive en question ne respectait pas le principe de proportionnalité et dépassait les limites de ce qui est « approprié et nécessaire »[20] au sens de la Charte des droits fondamentaux. La Cour rappelle également que le fait que les données soient ou non accessibles au public peut influer sur la gravité de l’atteinte faite aux libertés fondamentales[21]. Enfin, la Cour de justice se prononce beaucoup plus rapidement sur la seconde question relative à l’âge de la personne visée par le traitement. Elle juge ainsi que s’il peut être important de tenir compte de l’âge de la personne concernée par le traitement, cette information ne peut pas, en l’espèce, priver la partie demanderesse des données nécessaires à son action. Si la Cour de justice ne semble pas s’étendre sur la question, il convient de noter que la directive 95/46 sera abrogée en mai 2018 dans le cadre de la réforme de la législation européenne sur la protection des données, plus précisément, par l’adoption du règlement 2016/679 du 27 avril 2016[22]. Ce règlement entrera en vigueur le 25 mai 2018 et prévoit dans son article 6, relatif à la licéité du traitement, des conditions similaires à celles de l’article 7 de la directive 95/46. Le règlement vise dans son article 6 point f) le traitement « aux fins d’intérêt légitime ». L’article fait ensuite référence au principe de prédominance des droits fondamentaux et aux intérêts qui pourraient prévaloir sur le traitement et qui « exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant »[23]. Le règlement semble donc apporter une attention particulière au traitement de données qui serait relatif à un mineur. Quoiqu’il en soit, la Cour de justice rappelle dans l’arrêt du 4 mai 2017 la nécessité pour les législateurs internes d’opérer une pondération des différents intérêts.

Notes de bas de page

  • CdE, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, STCE, n° 108, 1981.
  • Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, JO 1995 L 281, p. 31.
  • Voir à ce sujet, Manuel de droit européen en matière de protection des données, de l’Agence des droits fondamentaux de l’Union européenne et du Conseil de l’Europe, juin 2014.
  • En l’espèce, la société de trolleybus n’a obtenu que l’identité du passager au motif qu’en droit letton, seules les parties à une procédure d’infraction administrative peuvent obtenir copie des pièces du dossier. Le propriétaire du trolleybus ne s’étant manifesté comme étant victime il n’est donc pas partie à la procédure.
  • L’autorité de protection (en Lettonie le Datu valsts inspekcija), a considéré que la société Rigas satiksme aurait pu obtenir ces informations par d’autres moyens, soit en s’adressant au registre de la population, soit en formant une requête auprès du juge civil aux fins d’obtention d’éléments de preuve. Ces solutions n’ont pas semblé adéquates aux juges suprêmes. En effet, le recours au registre expose au risque d’identifier un homonyme et l’action devant le juge civil nécessite de connaitre l’adresse du défendeur. L’autorité de protection a toutefois estimé que l’article 7 de la loi ne pose aucune obligation.
  • Article 2 de la Directive 95/46/CE du 24 octobre 1995.
  • CJCE, Grande chambre, 29 janvier 20008, Promusicea, C-275/06, EU:C:2008:54. La Cour de justice est saisie sur une question préjudicielle d’interprétation des dispositions de plusieurs directives et notamment de l’article 15 de la directive 2002/58 du 12 juillet 2002.
  • Ibid. point (26).
  • Ibid. point (55).
  • C’est notamment le cas dans l’arrêt du 30 mai 2013. CJUE, 3ème chambre, 30 mai 2013, Worten, C-342/12, EU:C:2013:355. La Cour de justice rappelle que tout traitement de données à caractère personnel doit obéir à des principes de qualité et de légitimité tels qu’énoncés aux articles 6 et 7 de la directive 95/46/CE, ces derniers ne s’opposent pas à ce que les législations internes prévoient des obligations de communication dès lors que cette communication est nécessaire. Il s’agissait ici de la question de la communication de données figurant sur le registre du temps de travail d’une entreprise à l’autorité nationale de surveillance des conditions de travail.
  • CJUE, Grande chambre, 29 janvier 20008, Promusicea, C-275/06, pt. 53.
  • CJUE, 3ème chambre, 30 mai 2013, Worten, C-342/12.
  • Avis 06/2014 sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE, adopté le 9 avril 2014 par le groupe de travail « article 29 » sur la protection des données.
  • En référence à la notion de finalité qui renvoie à « la raison spécifique pour laquelle les données sont traitées: le but ou l’intention de leur traitement ».
  • CJUE, 3ème chambre, 24 novembre 2011, ASNEF et FECEMD contre Administracion del Estado, C-468/10 et C-469/10, EU:C:2011:777. Voir notamment les points 29 à 32.
  • Plus précisément l’article 7 de la loi du 23 mars 2000 « Fizico personu datu aizsardzïbas likums », Latvijas Vëstnesis, 2000, n°123/124.
  • CJCE, 20 mai 2003, Osterreichischer Rundfunk, Aff. C-465/00, C-138/01 et C-139/01, EU:C:2003:294. Voir notamment les points 68 et 84.
  • Par exemple, CJUE, 2ème chambre, 19 octobre 2016, Breyer, C-582/14, point 62.
  • CJUE, Grande chambre, 8 avril 2014, Digital rights Ireland, C-293/12 et C-594/12, EU:C:2014:238.
  • Ibid. point 46.
  • CJUE, 3ème chambre, 24 novembre 2011, ASNEF et FECEMD contre Administracion del Estado, C-468/10 et C-469/10, points 40 et 45.
  • Règlement (UE), 27 avril 2016, 2016/679, Règlement général sur la protection des données (RGPD).
  • Ibid. Article 6 point f).

Auteurs


Malika Ongaro

jade@u-bordeaux.fr

Pièces jointes

Pas d'informations justificatives pour cet article