Dernière actualité : Révision de la directive SMA : position du CSA [Lire la suite]
ARTICLE
PROTECTION DE LA PROPRIETE INTELLECTUELLE : Protection des données à caractère personnel et internet
Par Yannick-Eléonore Scaramozzino
Dans son arrêt du 6 novembre 2003, Bodil Lindqvist, affaire C-101/01, la CJCE s’est prononcée sur l’application de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel dans le cas d’une publication de ces données sur Internet, sur la notion de « transfert de données à caractère personnel vers des pays tiers » dans le cyberspace.

Les faits peuvent être synthétisés de la manière suivante. Madame Lindqvist exerçait la fonction de formatrice de communiants en Suède. Elle a suivi des cours d’informatique, dans le cadre duquel elle devait notamment créer une page d’accueil sur Internet. A la fin de l’année, elle créa chez elle sur son ordinateur personnel des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d’obtenir facilement les informations dont ils pouvaient avoir besoin. A sa demande, l’administrateur du site Internet de l’Eglise de Suède a établi un lien entre ces pages et ledit site. Ces pages contenaient les noms et parfois seulement les prénoms de ses collègues, dans plusieurs cas leur adresse, numéro de téléphone, leur situation de famille et d’autres informations. Elle avait indiqué que l’une de ses collègues était blessée au pied et était en congé de maladie partiel. Elle n’avait pas demandé l’autorisation de ces collègues et ni recueilli leur consentement, ni déclaré sa démarche à l’organisme public suédois pour la protection des données transmises par voie informatique. Dès qu’elle a eu connaissance que celles-ci n’étaient pas appréciées par certains de ses collègues, elle a retiré les informations litigieuses.

Au titre de la question préjudicielle (article 234 CE) formulée par la juridiction suédoise, la Cour a été amenée tout d’abord à se prononcer sur le champ d’application de la directive dans le cyberespace (I), puis a précisé la notion de transfert des données à caractère personnel dans les pays tiers au regard des opérations effectuées sur Internet (II) et, enfin à se prononcer sur l’absence de restriction contraire à la liberté d’expression des dispositions de la directive et la faculté pour les Etats membres d’étendre la portée de la législation nationale (III).

     I- Précision sur l’application de la directive dans le cyberespace

i) « traitement de données à caractère personnel, automatisé en tout ou partie »
L’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, a été considéré par la Cour comme constitutive d’un traitement de données à caractère personnel, au sens de l’article 2, sous b) de la directive 95/46.
Sur la condition du caractère « automatisé du traitement en tout ou en partie », la Cour a estimé que les opérations visant à faire apparaître des informations sur une page Internet étaient effectuées de manière automatisée. En effet, cette procédure implique de réaliser une opération de chargement de cette page sur un serveur ainsi que les opérations nécessaires pour rendre cette page accessible aux Internautes.
En conséquence le référencement sur une page Internet de diverses personnes identifiées par les moyens mentionnés ci-dessus constitue un « traitement de données à caractère personnel, automatisé en tout ou partie » au sens de l’article 3, paragraphe 1, de la directive 95/46/CE.

ii) limitation de la portée des exceptions au champ d’application de la directive dans le cyberespace.
Le traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques, telles la correspondance et la tenue de répertoires d’adresses n’est pas soumis aux principes de protection énoncés dans la directive et bénéficient de l’exception de l’article 3§2 de la directive. Cependant, dès lors que ces données sont publiées sur Internet, elles sont rendues accessibles à un nombre indéfini de personnes. Elles ne peuvent plus être considérées comme appartenant à la sphère privée ou familiale des particuliers. Dans ces conditions, ce traitement de données à caractère personnel diffusé sur Internet ne relève d’aucune des exceptions figurant à l’article 3, paragraphe 2 de la directive.

iii) interprétation large des données relative à la santé
La Cour a admis une interprétation large des données relatives à la santé employée à son article 8, paragraphe 1 de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne. Dès lors, l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel soumis aux dispositions de la directive.


     II- Le transfert vers un pays tiers des données exclu du cyberespace

Les informations qui se trouvent sur Internet peuvent être consultées par un nombre indéfini de personnes résidant dans des lieux multiples et presque à tout moment. La question est de savoir si l’on peut considérer que ces données ont fait l’objet d’un transfert vers un pays tiers au sens de l’article 25 de la directive. Les données à caractère personnel qui arrivent sur l’ordinateur d’une personne située dans un pays tiers, en provenance d’une personne qui les a chargées sur un site Internet, n’ont pas été transférées directement entre ces deux personnes mais au travers de l’infrastructure informatique du fournisseur de services d’hébergement où la page est stockée. Compte tenu que le chapitre IV de la directive consacré au transfert des données à caractère personnel, ne contient pas de dispositions concernant l’utilisation d’Internet, et de l’état du développement d’Internet à l’époque de l’élaboration de la directive, selon la Cour, on ne saurait présumé que le législateur communautaire avait l’intention d’inclure prospectivement dans la notion de « transfert vers un pays tiers de données » l’inscription de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant des moyens techniques d’y accéder. S’il existe un « transfert vers un pays tiers de données » chaque fois que des données à caractère personnel sont chargées sur une page Internet, ce transfert serait nécessairement un transfert vers tous les pays tiers où existent les moyens techniques nécessaires pour accéder à Internet. Le régime spécial du transfert des données deviendrait en ce qui concerne les opérations sur Internet, un régime d’application générale, dans la mesure où chaque fois que la Commission constaterait qu’un seul pays tiers n’assure pas un niveau de protection adéquat, les Etats membres seraient obligés d’empêcher toute mise sur Internet de données à caractère personnel. En conséquence, la Cour a jugé que l’inscription sur une page Internet de données à caractère personnel du seul fait qu’elle les rend accessibles aux personnes se trouvant dans un pays tiers, ne constitue pas un « transfert de données vers un pays tiers » ( au sens de l’article 25, chapitre IV).


     III Sur l’absence de restriction a la liberté d’expression et la faculté pour les etats membres d’étendre la portee de la législation nationale

La Cour a considéré que les dispositions de la directive ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européennes et correspondant notamment à l’article 10 de la Convention européenne des droits de l’homme. En application du principe de proportionnalité, la Cour a précisé qu’il incombe à la juridiction de renvoi de prendre en considération toutes les circonstances de l’affaire dont elle est saisie, notamment la durée de la violation des règles mettant en œuvre la directive 95/46 ainsi que l’importance pour les intéressés, de la protection des données divulguées.

Par ailleurs, la Cour a rappelé que le rapprochement des législations nationales applicables à la protection des droits et des libertés des personnes à l’égard du traitement de données à caractère personnel ne doit pas conduire à affaiblir la protection qu’elles assurent, mais doit au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté. La directive reconnaît aux Etats membres une marge de manœuvre dans certains domaines et les autorise à maintenir ou à introduire des régimes particuliers pour des situations spécifiques. Toutefois, de telles possibilités doivent être utilisées conformément à ce qui est prévu par la directive 95/46 et à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s’oppose à ce qu’un Etat membre étende la portée de la législation nationale transposant les dispositions de la directive à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle.

Voir les conclusions de l’avocat général M.Antonio TIZZANO, présentée le 19 septembre 2002, affaire C-101/01, Bodil Lindqvist contre Aklagarkammaren i Jönköping.
Mentions légales | Réalisation site : Opium Bleu