La Cour de Justice confirme qu’un site web – même personnel – doit respecter la loi sur les données à caractère personnel
Publié le 12/11/2003 par Etienne Wery
La Cour européenne de Justice vient de rendre un arrêt très attendu concernant le respect sur l’internet de la législation sur les traitements de données à caractère personnel. Ces lois sont-elles applicables aux sites ? Un site web personnel échappe-t-il à la loi ? La mise en ligne, forcément mondiale, implique-t-elle un transfert vers des…
La Cour européenne de Justice vient de rendre un arrêt très attendu concernant le respect sur l’internet de la législation sur les traitements de données à caractère personnel. Ces lois sont-elles applicables aux sites ? Un site web personnel échappe-t-il à la loi ? La mise en ligne, forcément mondiale, implique-t-elle un transfert vers des pays tiers ? Comment concilier ces règles avec la liberté d’expression ? Voici quelques questions auxquelles la Cour répond.
Comme souvent, des faits relativement anodins qui n’auraient jamais du sortir d’une petite paroisse suédoise dont personne n’a jamais entendu parler, ont permis à la Cour de se fendre d’un arrêt de principe fort intéressant dont on parlera encore longtemps.
Les faits soumis à la Cour
Madame L. exerce, à côté de ses activités professionnelles, la fonction de « maman catéchiste » : avec d’autres, elle prépare les enfants qui vont faire leur communion dans sa petite paroisse d’Alseda (Suède). Elle a suivi un cours d’informatique dans le cadre duquel elle devait notamment créer une page d’accueil sur Internet. À la fin de l’année 1998, Mme L. a créé, à son domicile et avec son ordinateur personnel, des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d’obtenir facilement les informations dont ils pouvaient avoir besoin. À sa demande, l’administrateur du site Internet de l’Église de Suède a établi un lien entre ces pages et ledit site.
Les pages visées contenaient des informations sur Mme L. et 18 de ses collègues de la paroisse, y compris leur nom complet ou parfois seulement leur prénom. Mme L. a en outre décrit les fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques. Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d’autres informations ont été mentionnés. Par ailleurs, elle a indiqué qu’une de ses collègues s’était blessée au pied et qu’elle était en congé de maladie partiel. Mme L. n’avait ni informé ses collègues de l’existence de ces pages, ni recueilli leur consentement, ni déclaré sa démarche à la Datainspektion (organisme public pour la protection des données transmises par voie informatique). Elle a supprimé les pages visées dès qu’elle a appris que celles-ci n’étaient pas appréciées par certains de ses collègues.
Sur poursuites du ministère public, Mme L. a été condamnée pour avoir : traité des données à caractère personnel, dans le cadre d’un traitement automatisé, sans faire de déclaration écrite préalable auprès de la Datainspektion (article 36 de la PUL) ; traité sans autorisation des données à caractère personnel sensibles, à savoir celles relatives à une blessure au pied et à un congé de maladie partiel (article 13 de la PUL) ; transféré vers des pays tiers des données à caractère personnel traitées sans autorisation (article 33 de la PUL).
Sur recours de Mme L., la Cour de justice est saisie par le biais de questions préjudicielles.
Première question préjudicielle : La mention d’une personne – par son nom ou par son nom et son numéro de téléphone – sur une page d’accueil sur Internet est-elle une opération qui relève du champ d’application de la directive 95/46 ? Le fait de faire figurer, sur une page d’accueil sur Internet que l’on a soi-même construite, un certain nombre de personnes, ainsi que des affirmations et des déclarations sur les conditions de travail et les passe-temps de ces personnes, constitue-t-il un traitement de données à caractère personnel, automatisé en tout ou en partie ?
Il n’échappera à personne que cette première question est absolument fondamentale. Elle revient à savoir si les sites web qui contiennent des informations à caractère personnel sont ou non soumis à la loi.
Fort heureusement, la Cour n’y va pas par quatre chemins :
La notion de « données à caractère personnel » employée à l’article 3, paragraphe 1, de la directive 95/46 englobe, conformément à la définition figurant à l’article 2, sous a), de celle-ci, « toute information concernant une personne physique identifiée ou identifiable ». Cette notion comprend assurément le nom d’une personne joint à ses coordonnées téléphoniques ou à des informations relatives à ses conditions de travail ou à ses passe-temps.
Quant à la notion de « traitement » de telles données employée à l’article 3, paragraphe 1, de la directive 95/46, elle comprend, conformément à la définition figurant à l’article 2, sous b), de celle-ci, « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel ». Cette dernière disposition mentionne plusieurs exemples de telles opérations, parmi lesquels figurent la communication par transmission, la diffusion ou toute autre forme de mise à disposition de données. Il s’ensuit que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un tel traitement.
Deuxième question préjudicielle : Le fait d’insérer des données de ce type sur des collègues de travail sur une page d’accueil privée, qui est cependant accessible à tous ceux qui connaissent l’adresse de la page, peut-il être considéré comme échappant au champ d’application de la directive [95/46] en vertu de l’une des exceptions figurant à l’article 3, paragraphe 2?
Tout aussi fondamentale, la seconde question préjudicielle demande à la Cour de préciser les deux exceptions au champ d’application de la directive 95/46. L’article 3, paragraphe 2, de la directive prévoit en effet deux exceptions :
- La première concerne les traitements de données à caractère personnel mis en oeuvre œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal.
C’est que les activités de Mme L. étant essentiellement non pas économiques mais bénévoles ainsi que religieuses, il convient d’examiner si elles constituent des traitements de données à caractère personnel « mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire » au sens de l’article 3, paragraphe 2, premier tiret, de la directive 95/46.
A ce sujet, la Cour a déjà rappelé que le fondement juridique de la directive 95/46 est l’article 100 A du traité, mais que le recours à cette base juridique ne présuppose pas l’existence d’un lien effectif avec la libre circulation entre États membres dans chacune des situations visées par l’acte fondé sur une telle base (voir arrêt du 20 mai 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 et C-139/01, non encore publié au Recueil, point 41 et jurisprudence citée). Une interprétation contraire risquerait de rendre les limites du domaine d’application de la directive particulièrement incertaines et aléatoires, ce qui serait contraire à l’objectif essentiel de celle-ci, qui est de rapprocher les dispositions législatives, réglementaires et administratives des États membres afin d’éliminer les obstacles au fonctionnement du marché intérieur découlant précisément des disparités entre les législations nationales (arrêt Österreichischer Rundfunk e.a., précité, point 42).
Dans ces conditions, la Cour estime qu’il ne serait pas approprié d’interpréter l’expression « activités qui ne relèvent pas du champ d’application du droit communautaire » comme ayant une portée telle qu’il serait nécessaire de vérifier, au cas par cas, si l’activité spécifique en cause affecte directement la libre circulation entre États membres.
Les juges luxembourgeois estiment en effet que les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activité des particuliers. Or, des activités bénévoles ou religieuses, telles que celles exercées par Mme L., ne sont pas assimilables aux activités mentionnées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 et ne sont donc pas couvertes par cette exception.
- S’agissant de l’exception prévue à l’article 3, paragraphe 2, second tiret, de la directive 95/46, le douzième considérant de celle-ci, relatif à cette exception, mentionne en tant qu’exemples de traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques la correspondance et la tenue de répertoires d’adresses.
Cette exception doit donc être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes.
Troisième question préjudicielle : L’indication, sur une page d’accueil, qu’un collègue de travail mentionné par son nom s’est blessé au pied et est en congé de maladie partiel est-elle une donnée à caractère personnel relative à la santé qui, aux termes de l’article 8, paragraphe 1, ne peut faire l’objet d’un traitement ?
La Cour répond affirmativement, estimant qu’eu égard à l’objet de la directive, il convient de donner à l’expression « données relatives à la santé » employée à son article 8, paragraphe 1, une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne.
Quatrième question préjudicielle : Le fait de mettre en ligne des données sur un site web dans un Etat membre, et de rendre ainsi ces données disponibles au monde entier, est-il « transfert vers un pays tiers » au sens de l’article 25 de la directive 95/46 ?
Premier élément de réponse – et non le moindre, la Cour estime qu’afin de déterminer si l’inscription sur une page Internet de données à caractère personnel, du seul fait qu’elle les rend accessibles aux personnes se trouvant dans un pays tiers, constitue un « transfert » de ces données vers un pays tiers au sens de l’article 25 de la directive 95/46, il est nécessaire de tenir compte, d’une part, de la nature technique des opérations ainsi effectuées et, d’autre part, de l’objectif ainsi que de l’économie du chapitre IV de ladite directive, où figure son article 25.
En d’autres termes, la réponse n’est pas toujours « non » comme on le croit souvent : selon un processus technique donné, la réponse pourrait être « oui ».
S’attardant ensuite aux faits de l’espèce, la Cour relève qu’il ressort du dossier que, pour obtenir les informations figurant sur les pages Internet dans lesquelles Mme L. avait inséré des données relatives à ses collègues, un utilisateur d’Internet devait non seulement se connecter à celui-ci mais aussi effectuer, par une démarche personnelle, les actions nécessaires pour consulter lesdites pages. En d’autres termes, les pages Internet de Mme L. ne comportaient pas les mécanismes techniques qui auraient permis l’envoi automatique de ces informations à des personnes qui n’avaient pas délibérément cherché à accéder à ces pages.
Il s’ensuit que, dans des circonstances telles que celles de l’espèce au principal, les données à caractère personnel qui arrivent sur l’ordinateur d’une personne située dans un pays tiers, en provenance d’une personne qui les a chargées sur un site Internet, n’ont pas été transférées directement entre ces deux personnes mais au travers de l’infrastructure informatique du fournisseur de services d’hébergement où la page est stockée.
Or, eu égard, d’une part, à l’état du développement d’Internet à l’époque de l’élaboration de la directive 95/46 et, d’autre part, à l’absence, dans son chapitre IV, de critères applicables à l’utilisation d’Internet, on ne saurait présumer que le législateur communautaire avait l’intention d’inclure prospectivement dans la notion de « transfert vers un pays tiers de données » l’inscription, par une personne se trouvant dans la situation de Mme L., de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant les moyens techniques d’y accéder.
En effet dit la Cour, si l’article 25 de la directive 95/46 était interprété en ce sens qu’il existe un « transfert vers un pays tiers de données » chaque fois que des données à caractère personnel sont chargées sur une page Internet, ce transfert serait nécessairement un transfert vers tous les pays tiers où existent les moyens techniques nécessaires pour accéder à Internet. Le régime spécial prévu par le chapitre IV de ladite directive deviendrait donc nécessairement, en ce qui concerne les opérations sur Internet, un régime d’application générale. En effet, dès que la Commission constaterait, en application de l’article 25, paragraphe 4, de la directive 95/46, qu’un seul pays tiers n’assure pas un niveau de protection adéquat, les États membres seraient obligés d’empêcher toute mise sur Internet de données à caractère personnel.
Les dispositions de la directive [95/46] peuvent-elles, dans un cas tel que celui de l’espèce, être considérées comme impliquant une restriction contraire aux principes généraux de liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et qui correspondent notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ?
L’arrêt souligne qu’il ressort du septième considérant de la directive 95/46 que l’établissement et le fonctionnement du marché intérieur sont susceptibles d’être sérieusement affectés par les différences entre les régimes nationaux applicables au traitement des données à caractère personnel. Selon le troisième considérant de la même directive, l’harmonisation de ces régimes nationaux doit avoir pour objectifs non seulement la libre circulation de ces données entre États membres, mais également la sauvegarde des droits fondamentaux des personnes. Ces objectifs peuvent évidemment entrer en conflit.
Les mécanismes permettant de mettre en balance ces différents droits et intérêts sont inscrits, d’une part, dans la directive 95/46 elle-même, en ce qu’elle prévoit des règles qui déterminent dans quelles situations et dans quelle mesure le traitement des données à caractère personnel est licite et quelles sauvegardes doivent être prévues. D’autre part, ils résultent de l’adoption, par les États membres, de dispositions nationales assurant la transposition de cette directive et de l’éventuelle application de celles-ci par les autorités nationales.
Quant à la directive 95/46 elle-même, ses dispositions sont nécessairement relativement générales vu qu’elle doit s’appliquer à un grand nombre de situations très diverses. Contrairement à ce que prétend Mme L., c’est donc à juste titre que cette directive comporte des règles caractérisées par une certaine souplesse et qu’elle laisse dans de nombreux cas aux États membres le soin d’arrêter les détails ou de choisir parmi des options.
Il est vrai que les États membres disposent à maints égards d’une marge de manoeuvre en vue de la transposition de la directive 95/46. Toutefois, rien ne permet de considérer que le régime que celle-ci prévoit manque de prévisibilité ou que ses dispositions sont, en tant que telles, contraires aux principes généraux du droit communautaire et, notamment, aux droits fondamentaux protégés par l’ordre juridique communautaire.
C’est donc plutôt au stade de la mise en oeuvre sur le plan national de la réglementation transposant la directive 95/46 dans des cas d’espèce particuliers que doit être trouvé un juste équilibre des droits et intérêts visés.
En application du principe de proportionnalité, il incombe à la juridiction de renvoi de prendre en considération toutes les circonstances de l’affaire dont elle est saisie, notamment la durée de la violation des règles mettant en oeuvre la directive 95/46 ainsi que l’importance, pour les intéressés, de la protection des données divulguées.
Plus d’infos ?
En prenant connaissance de l’arrêt, en ligne sur notre site