Droit de l'Homme et citoyenneté

La notion extensive de donnée à caractère personnel et son interprétation par la CJUE : le cas des réponses écrites fournies lors d’un examen

CJUE, 20 décembre 2017, Peter Nowak c. Data Protection Commissioner (Irlande), Aff. C-434/16, ECLI:EU:C:2017:994

Dans un arrêt rendu le 20 décembre dernier, la Cour de justice de l’Union européenne a une nouvelle fois fait la démonstration de la définition très extensive de la notion de données à caractère personnel en droit européen. Dans une décision d'octobre 2016, la Cour retenait cette qualification pour les adresses IP dynamiques — partagées par plusieurs utilisateurs et renouvelées très régulièrement — fournies par les fournisseurs d’accès à Internet[1]. La Cour en fait de même cette fois pour les réponses fournies par les candidats dans leurs copies d’examens.

Le litige au principal oppose M. Nowak, candidat malheureux à l’examen d’accès à la profession d’expert-comptable, au Data Protection Commissioner, l’autorité de contrôle indépendante irlandaise. Après avoir essayé de contester le résultat de son quatrième examen, M. Nowak a présenté, sur le fondement du Data Protection Act[2], une demande d’accès à l’ensemble des données à caractère personnel le concernant dont dispose l’ordre irlandais des experts-comptables (l’ordre). L’ordre communique à M. Nowak l’ensemble des données qu’elle détient sur lui, soit un ensemble de 17 documents, à l’exception de sa copie d’examen estimant que de tels documents ne constituent pas, au sens de la loi, des données à caractère personnel. Après le dépôt d’un recours devant le commissaire à la protection des données irlandais, M. Nowak se voit signifier par ce dernier l’absence de constatation d’une violation à la législation dans le refus de l’ordre de lui communiquer sa copie d’examen. Le commissaire décide, conformément à la loi irlandaise qui prévoit le cas des réclamations fantaisistes ou vexatoires, de ne pas instruire la réclamation de M. Nowak. Il soutient, tout comme l’ordre, que de tels documents « ne constitu[ent] pas des données à caractère personnel auxquelles [la législation] sur la protection des données s’applique » (Conclusions, §13).

M. Nowak conteste la décision du commissaire à la protection des données devant les juridictions irlandaises jusque devant la Cour suprême qui saisit la CJUE d’une question préjudicielle portant sur l’interprétation de l’article 2, a) de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel. Dans sa décision rendue le 20 décembre 2017, la Cour rejette l’argumentation du commissaire à la protection des données irlandais et fait la démonstration que les réponses fournies par un candidat lors d’un examen et les annotations du correcteur constituent bien des données à caractère personnel à l’égard du candidat, et que la finalité de la demande du candidat d’exercer son droit d’accès et de rectification rencontre les objectifs poursuivis par la directive de 1995.

I. La qualification des réponses écrites d’un candidat à un examen et des annotations du correcteur en tant que données à caractère personnel

La notion de données à caractère personnel est définie de façon large en droit européen, que ce soit sous l’empire de la directive de 1995 ou du nouveau règlement général sur la protection des données (RGPD) de 2016 comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Cette personne doit pouvoir être « identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (art. 2, a)).

À partir de cette définition, la Cour s’emploie à démontrer que cette qualification a vocation à s’appliquer aux réponses écrites fournies par un candidat lors d’un examen et aux éventuelles annotations de l’examinateur s’y rapportant.

Sur la nature de l’information, la Cour rappelle que « l’emploi de l’expression "toute information" […] reflète l’objectif du législateur de l’Union d’attribuer un sens large à cette notion, laquelle n’est pas restreinte aux informations sensibles ou d’ordre privé, mais englobe potentiellement toute sorte d’informations, tant objectives que subjectives » (§34), y compris les informations sous forme d’avis ou d’appréciation. Partant, il y a lieu de constater que les réponses fournies par le candidat lors de l’examen et que les annotations de l’examinateur relatives aux réponses du candidat constituent des informations, et que celles-ci concernent directement le candidat dans la mesure où « le contenu de ces réponses reflète le niveau de connaissance et de compétence du candidat dans un domaine donné ainsi que, le cas échéant, ses processus de réflexion, son jugement et son esprit critique [et qu’] en cas d’examen rédigé à la main, les réponses contiennent, en outre, des informations sur son écriture » (§37).

Sur la qualification de personne physique identifiée ou identifiable du candidat, la Cour relève qu’ « il n’est pas requis que toutes les informations permettant d’identifier la personne concernée se trouvent entre les mains d’une seule personne » (§31), et que dans le cas des réponses écrites fournies à un examen s’il est plausible que l’examinateur n’ait pas connaissance de l’identité du candidat lors de son évaluation, « l’entité organisant l’examen […] dispose, en revanche, des informations nécessaires lui permettant d’identifier sans difficultés ou doutes ce candidat à partir de son numéro d’identification […] et ainsi de lui attribuer ses réponses » (§31), de sorte que le candidat doit être considéré comme une personne identifiée ou identifiable.

La Cour parvient ainsi à démontrer sans difficulté que les réponses d’un candidat à un examen constituent des informations se rapportant à la personne du candidat et qu’il y a lieu en conséquence de les qualifier de données à caractère personnel. Elle poursuit son analyse en démontrant que la finalité de la demande d’accès du candidat rencontre l’objectif poursuivi par la directive de 1995 de garantir la protection du droit à la vie privée des personnes à l’égard du traitement des données les concernant.

II. L’analyse de la finalité de la demande du candidat au regard des objectifs poursuivis par la législation sur la protection des données à caractère personnel

D’abord, la Cour relève que la finalité de la collecte des réponses fournies par le candidat est « d’évaluer les capacités professionnelles du candidat et son aptitude à exercer le métier en cause » (§38) et que « l’utilisation de ces informations […] est susceptible d’avoir un effet sur les droits et intérêts de celui-ci, en ce qu’elle peut déterminer ou influencer, par exemple, ses chances d’accéder à la profession ou à l’emploi souhaités » (§39). Ainsi, la Cour estime qu’« indépendamment du point de savoir si ledit candidat dispose ou non d’un tel droit d’accès également en vertu de la réglementation nationale applicable à la procédure d’examen » (§56), il ne peut être nié au candidat ses droits d’accès et de rectification (art. 12 de la Directive 95/46/CE) pour les réponses fournies lors d’un examen dans la mesure où peuvent se présenter « des situations dans lesquelles les réponses d’un candidat à un examen et les annotations de l’examinateur relatives à ces réponses se révèlent inexactes […] par exemple en raison du fait que, par erreur, les copies d’examen ont été échangées […] ou qu’une partie des feuillets comportant les réponses de ce candidat a été perdue de telle sorte que lesdites réponses ne sont pas complètes, ou encore que les éventuelles annotations de l’examinateur ne documentent pas correctement l’évaluation portée par celui-ci sur les réponses du candidat concerné » (§54).

Dans un arrêt de 2014, la Cour avait procédé de la même façon à l’analyse de la finalité de la demande d’accès. Elle portait cette fois sur la demande de communication d’une minute —document dans lequel un agent d’immigration expose au réviseur les motifs qui soutiennent son projet de décision — par un demandeur d’asile. La Cour avait ainsi pu décider que la finalité de la demande ne rencontrait pas les objectifs de la législation sur la protection des données à caractère personnel. Elle expliquait alors que « le règlement n° 45/2001 [relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires] ne vise pas à assurer la transparence du processus décisionnel des autorités publiques et à promouvoir de bonnes pratiques administratives, en facilitant l’exercice du droit d’accès aux documents. Cette constatation vaut également pour la directive 95/46 dont l’objectif correspond, en substance, à celui du règlement n° 45/2001 » (§47). Se faisant, la Cour avait estimé que le demandeur d’asile ne pouvait fonder sa demande sur la législation relative à la protection des données personnelles.

Dans le cas d’espèce, la Cour estime qu’il y a bien corrélation entre la finalité de la demande du candidat et « la protection du droit fondamental au respect de la vie privée [qui] implique, notamment, que toute personne physique puisse s’assurer que les données à caractère personnel la concernant sont exactes et qu’elles sont traitées de manière licite » (§57).

Toutefois, la Cour tient tout de même à souligner que si le droit de rectification ne peut être nié à un candidat à un examen dans les situations légitimes qu’elle expose en exemple, celui-ci « ne saurait, à l’évidence, permettre à un candidat de "rectifier", a posteriori, de "fausses" réponses » (§52), puisque « le caractère exact et complet de données à caractère personnel doit être apprécié au regard de la finalité pour laquelle ces données ont été collectées » et que « cette finalité consiste, en ce qui concerne les réponses d’un candidat à un examen, à pouvoir évaluer le niveau de connaissance et de compétence de ce candidat à la date de l’examen » (§53).

Enfin, la Cour estime que la demande du candidat se justifie également au regard du droit à l’effacement (art. 12, b) de la Directive 95/46/CE). Elle va dans le sens des conclusions de l’avocat général et relève notamment que « compte tenu de la finalité des réponses fournies par un candidat lors d’un examen et des annotations de l’examinateur relatives à ces réponses, leur conservation dans une forme permettant l’identification du candidat ne paraît, a priori, plus nécessaire une fois que la procédure d’examen est définitivement close et ne peut plus faire l’objet de recours, de telle sorte que ces réponses et annotations ont perdu toute valeur probante » (§55). Cela signifie que les établissements d’enseignement, les administrations ou les ordres professionnels qui organisent des examens ou des concours devront donc désormais prendre en compte leurs obligations de responsable de traitement dans leurs politiques de conservation des copies d’examens et ne pas les conserver les réponses fournies par les candidats au-delà de la durée nécessaire à la réalisation des finalités pour lesquelles ces réponses ont collectées et traitées. Cependant, cette qualification par la Cour des réponses écrites fournies lors d’un examen comme données à caractère personnel ne fera pas obstacle à la conservation de certaines copies à des fins historiques, statistiques ou scientifiques. La durée de conservation est aujourd’hui généralement d’un an en France, et pour les copies faisant l’objet d’un archivage prolongé conformément au Plan de l’instruction de tri et de conservation de 2005, l’administration pourra invoquer l’exception de « traitement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques », tel que désormais clairement consacré à l’article 89 du RGPG entré en vigueur le 25 mai dernier.

Notes de bas de page

  • CJUE, 19 octobre 2016, Patrick Breyer c. Bundesrepublik Deutschland, Aff. C582/14, ECLI:EU:C:2016:779.
  • Le Data Protection Act 1988 modifié par le Data Protection (Amendment) Act 2003 est l’acte législatif de transposition de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dans l’ordre juridique irlandais.