Jurisprudence : Vie privée
Cour de justice de l’union européenne Arrêt du 6 novembre 2003
Göta hovrätt / Bodil Lindqvist
directive europeenne - données à caractère personnel - liberté d'expression - localisation - publication - transfert de données des pays tiers
«Directive 95/46/CE – Champ d’application – Publication des données à caractère personnel sur Internet – Lieu de la publication – Notion de transfert de données à caractère personnel vers des pays tiers – Liberté d’expression – Compatibilité avec la directive 95/46 d’une protection plus forte des données à caractère personnel par la législation d’un État membre»
Dans l’affaire C-101/01,ayant pour objet une demande adressée à la Cour, en application de l’article 234 CE, par le Göta hovrätt (Suède) et tendant à obtenir, dans la procédure pénale poursuivie devant cette juridiction contre Bodil Lindqvist, une décision à titre préjudiciel sur, notamment, l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31),
LA COUR,
composée de M. P. Jann, président de la première chambre, faisant fonction de président, MM. C. W. A. Timmermans, C. Gulmann, J. N. Cunha Rodrigues et A. Rosas, présidents de chambre, MM. D. A. O. Edward (rapporteur) et J.-P. Puissochet, Mme F. Macken et M. S. von Bahr, juges,
avocat général: M. A. Tizzano,
greffier: M. H. von Holstein, greffier adjoint,
considérant les observations écrites présentées:
–
pour Mme Lindqvist, par Me S. Larsson, advokat,
–
pour le gouvernement suédois, par M. A. Kruse, en qualité d’agent,
–
pour le gouvernement néerlandais, par Mme H. G. Sevenster, en qualité d’agent,
–
pour le gouvernement du Royaume-Uni, par Mme G. Amodeo, en qualité d’agent, assistée de Mme J. Stratford, barrister,
–
pour la Commission des Communautés européennes, par Mme L. Ström et M. X. Lewis, en qualité d’agents,
vu le rapport d’audience,
ayant entendu les observations orales de Mme Lindqvist, représentée par Me S. Larsson, du gouvernement suédois, représenté par M. A. Kruse et Mme B. Hernqvist, en qualité d’agent, du gouvernement néerlandais, représenté par Mme J. van Bakel, en qualité d’agent, du gouvernement du Royaume-Uni, représenté par Mme J. Stratford, de la Commission, représentée par Mme L. Ström et M. C. Docksey, en qualité d’agent, et de l’Autorité de surveillance AELE, représentée par Mme D. Sif Tynes, en qualité d’agent, à l’audience du 30 avril 2002,
ayant entendu l’avocat général en ses conclusions à l’audience du 19 septembre 2002,
rend le présent
Arrêt
1
Par ordonnance du 23 février 2001, parvenue à la Cour le 1er mars suivant, le Göta hovrätt a posé, en application de l’article 234 CE, sept questions préjudicielles relatives, notamment, à l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
2
Ces questions ont été soulevées dans le cadre d’une procédure pénale poursuivie devant ladite juridiction contre Mme Lindqvist, accusée d’avoir enfreint la législation suédoise relative à la protection des données à caractère personnel en publiant sur son site Internet des données à caractère personnel concernant un certain nombre de personnes qui travaillent, comme elle, à titre bénévole dans une paroisse de l’Église protestante de Suède.
Le cadre juridique
La législation communautaire
3
La directive 95/46 vise, ainsi qu’il ressort de son article 1er, paragraphe 1, la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.
4
L’article 3 de la directive 95/46, relatif au champ d’application de celle-ci, dispose:
«1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
2. La présente directive ne s’applique pas au traitement de données à caractère personnel:
–
mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,
–
effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques.»
5
L’article 8 de la directive 95/46, intitulé «Traitements portant sur des catégories particulières de données», prévoit:
«1. Les États membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.
2. Le paragraphe 1 ne s’applique pas lorsque:
a)
la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée
ou
b)
le traitement est nécessaire aux fins de respecter les obligations et les droits spécifiques du responsable du traitement en matière de droit du travail, dans la mesure où il est autorisé par une législation nationale prévoyant des garanties adéquates
ou
c)
le traitement est nécessaire à la défense des intérêts vitaux de la personne concernée ou d’une autre personne dans le cas où la personne concernée se trouve dans l’incapacité physique ou juridique de donner son consentement
ou
d)
le traitement est effectué dans le cadre de leurs activités légitimes et avec des garanties appropriées par une fondation, une association ou tout autre organisme à but non lucratif et à finalité politique, philosophique, religieuse ou syndicale, à condition que le traitement se rapporte aux seuls membres de cet organisme ou aux personnes entretenant avec lui des contacts réguliers liés à sa finalité et que les données ne soient pas communiquées à des tiers sans le consentement des personnes concernées
ou
e)
le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.
3. Le paragraphe 1 ne s’applique pas lorsque le traitement des données est nécessaire aux fins de la médecine préventive, des diagnostics médicaux, de l’administration de soins ou de traitements ou de la gestion de services de santé et que le traitement de ces données est effectué par un praticien de la santé soumis par le droit national ou par des réglementations arrêtées par les autorités nationales compétentes au secret professionnel, ou par une autre personne également soumise à une obligation de secret équivalente.
4. Sous réserve de garanties appropriées, les États membres peuvent prévoir, pour un motif d’intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l’autorité de contrôle.
5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l’État membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.
Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l’autorité publique.
6. Les dérogations au paragraphe 1 prévues aux paragraphes 4 et 5 sont notifiées à la Commission.
7. Les États membres déterminent les conditions dans lesquelles un numéro national d’identification ou tout autre identifiant de portée générale peut faire l’objet d’un traitement.»
6
L’article 9 de la directive 95/46, intitulé «Traitements de données à caractère personnel et liberté d’expression», dispose:
«Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression.»
7
L’article 13 de la directive 95/46, intitulé «Exceptions et limitations», prévoit que les États membres peuvent apporter des restrictions à certaines obligations mises par la directive à la charge du responsable du traitement de données, notamment quant à l’information des personnes concernées, dans la mesure où lesdites restrictions sont nécessaires à la sauvegarde, par exemple, de la sûreté de l’État, de la défense, de la sécurité publique, d’un intérêt économique ou financier important d’un État membre ou de l’Union européenne, ainsi qu’à la recherche et à la poursuite d’infractions pénales ou de manquements à la déontologie de professions réglementées.
8
L’article 25 de la directive 95/46, qui figure au chapitre IV intitulé «Transfert de données à caractère personnel vers des pays tiers», est libellé comme suit:
«1. Les États membres prévoient que le transfert vers un pays tiers de données à caractère personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir lieu que si, sous réserve du respect des dispositions nationales prises en application des autres dispositions de la présente directive, le pays tiers en question assure un niveau de protection adéquat.
2. Le caractère adéquat du niveau de protection offert par un pays tiers s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts de données; en particulier, sont pris en considération la nature des données, la finalité et la durée du ou des traitements envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées.
3. Les États membres et la Commission s’informent mutuellement des cas dans lesquels ils estiment qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2.
4. Lorsque la Commission constate, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers n’assure pas un niveau de protection adéquat au sens du paragraphe 2 du présent article, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de même nature vers le pays tiers en cause.
5. La Commission engage, au moment opportun, des négociations en vue de remédier à la situation résultant de la constatation faite en application du paragraphe 4.
6. La Commission peut constater, conformément à la procédure prévue à l’article 31 paragraphe 2, qu’un pays tiers assure un niveau de protection adéquat au sens du paragraphe 2 du présent article, en raison de sa législation interne ou de ses engagements internationaux, souscrits notamment à l’issue des négociations visées au paragraphe 5, en vue de la protection de la vie privée et des libertés et droits fondamentaux des personnes.
Les États membres prennent les mesures nécessaires pour se conformer à la décision de la Commission.»
9
Lors de l’adoption de la directive 95/46, le royaume de Suède a fait au sujet de l’article 9 de celle-ci une déclaration inscrite au procès-verbal du Conseil (document n° 4649/95 du Conseil, du 2 février 1995), qui énonce:
«Le royaume de Suède considère que la notion d’expression artistique et littéraire renvoie aux moyens d’expression plutôt qu’au contenu de la communication ou à sa qualité.»
10
La convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950 (ci-après la «CEDH»), prévoit, à son article 8, le droit au respect de la vie privée et familiale et contient, à son article 10, des dispositions relatives à la liberté d’expression.
La législation nationale
11
La directive 95/46 a été transposée en droit suédois par la Personuppgiftslag, SFS 1998, n° 204 (loi suédoise sur les données à caractère personnel, ci-après la «PUL»).
L’affaire au principal et les questions préjudicielles
12
Outre qu’elle occupait un emploi salarié d’agent d’entretien, Mme Lindqvist exerçait la fonction de formatrice de communiants dans la paroisse d’Alseda (Suède). Elle a suivi un cours d’informatique dans le cadre duquel elle devait notamment créer une page d’accueil sur Internet. À la fin de l’année 1998, Mme Lindqvist a créé, à son domicile et avec son ordinateur personnel, des pages Internet dans le but de permettre aux paroissiens préparant leur confirmation d’obtenir facilement les informations dont ils pouvaient avoir besoin. À sa demande, l’administrateur du site Internet de l’Église de Suède a établi un lien entre ces pages et ledit site.
13
Les pages visées contenaient des informations sur Mme Lindqvist et 18 de ses collègues de la paroisse, y compris leur nom complet ou parfois seulement leur prénom. Mme Lindqvist a en outre décrit les fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques. Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d’autres informations ont été mentionnés. Par ailleurs, elle a indiqué qu’une de ses collègues s’était blessée au pied et qu’elle était en congé de maladie partiel.
14
Mme Lindqvist n’avait ni informé ses collègues de l’existence de ces pages, ni recueilli leur consentement, ni déclaré sa démarche à la Datainspektion (organisme public pour la protection des données transmises par voie informatique). Elle a supprimé les pages visées dès qu’elle a appris que celles-ci n’étaient pas appréciées par certains de ses collègues.
15
Le ministère public a engagé des poursuites à l’encontre de Mme Lindqvist pour infraction à la PUL et a conclu à sa condamnation, au motif qu’elle avait:
–
traité des données à caractère personnel, dans le cadre d’un traitement automatisé, sans faire de déclaration écrite préalable auprès de la Datainspektion (article 36 de la PUL);
–
traité sans autorisation des données à caractère personnel sensibles, à savoir celles relatives à une blessure au pied et à un congé de maladie partiel (article 13 de la PUL);
–
transféré vers des pays tiers des données à caractère personnel traitées sans autorisation (article 33 de la PUL).
16
Mme Lindqvist a reconnu les faits, mais a nié avoir commis une infraction. Condamnée par l’Eksjö tingsrätt (Suède) au paiement d’une amende, Mme Lindqvist a interjeté appel de cette décision devant la juridiction de renvoi.
17
L’amende s’élevait à 4 000 SEK, compte tenu de l’application à la somme de 100 SEK, calculée en fonction de la situation financière de Mme Lindqvist, d’un multiplicateur de 40 représentant la sévérité de l’infraction. Mme Lindqvist a en outre été condamnée à verser 300 SEK à un fonds suédois destiné à aider les victimes d’infractions.
18
Éprouvant des doutes sur l’interprétation du droit communautaire applicable en la matière, notamment de la directive 95/46, le Göta hovrätt a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes:
«1)
La mention d’une personne – par son nom ou par son nom et son numéro de téléphone – sur une page d’accueil sur Internet est-elle une opération qui relève du champ d’application de la directive [95/46]? Le fait de faire figurer, sur une page d’accueil sur Internet que l’on a soi-même construite, un certain nombre de personnes, ainsi que des affirmations et des déclarations sur les conditions de travail et les passe-temps de ces personnes, constitue-t-il un ‘traitement de données à caractère personnel, automatisé en tout ou en partie’?
2)
Au cas où la question précédente appellerait une réponse négative, le fait de créer, sur une page d’accueil sur Internet, des pages spécifiques pour une bonne quinzaine de personnes, avec des liens entre les pages qui permettent une recherche par prénom, peut-il être considéré comme constituant un ‘traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier’ au sens de l’article 3, paragraphe 1?
Si l’une des questions précédentes appelle une réponse affirmative, le hovrätt pose en outre les questions suivantes:
3)
Le fait d’insérer des données de ce type sur des collègues de travail sur une page d’accueil privée, qui est cependant accessible à tous ceux qui connaissent l’adresse de la page, peut-il être considéré comme échappant au champ d’application de la directive [95/46] en vertu de l’une des exceptions figurant à l’article 3, paragraphe 2?
4)
L’indication, sur une page d’accueil, qu’un collègue de travail mentionné par son nom s’est blessé au pied et est en congé de maladie partiel est-elle une donnée à caractère personnel relative à la santé qui, aux termes de l’article 8, paragraphe 1, ne peut faire l’objet d’un traitement?
5)
Le transfert de données à caractère personnel vers des pays tiers est interdit dans certains cas en vertu de la directive [95/46]. Si une personne insère, en Suède, à l’aide d’un ordinateur, des données à caractère personnel sur une page d’accueil qui est stockée sur un serveur en Suède – de sorte que les données à caractère personnel deviennent accessibles à des ressortissants de pays tiers -, cela constitue-t-il un transfert de données vers des pays tiers au sens de la directive [95/46]? La réponse reste-t-elle la même si, selon les informations dont nous disposons, aucun ressortissant d’un pays tiers n’a en fait pris connaissance des données ou si le serveur en question se trouve, d’un point de vue purement physique, dans un pays tiers?
6)
Les dispositions de la directive [95/46] peuvent-elles, dans un cas tel que celui de l’espèce, être considérées comme impliquant une restriction contraire aux principes généraux de liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et qui correspondent notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales?
Enfin, le hovrätt pose la question suivante:
7)
Un État membre peut-il, dans les domaines visés par les questions qui précèdent, disposer d’une protection plus forte des données à caractère personnel ou d’un champ d’application plus large que celui qui résulte de la directive [95/46], même lorsque l’on ne se trouve pas en présence de l’un des intérêts mentionnés à l’article 13?»
Sur la première question
19
Par sa première question, la juridiction de renvoi demande si l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l’article 3, paragraphe 1, de la directive 95/46.
Observations soumises à la Cour
20
Selon Mme Lindqvist, il n’est pas raisonnable de considérer que la simple mention du nom d’une personne ou de données à caractère personnel dans un texte contenu sur une page Internet constitue un traitement automatisé de données. En revanche, la mention de telles données dans un mot clé des «balises méta» («meta tags») d’une page Internet, qui permet de procéder à une indexation et de trouver cette page par un moteur de recherche, pourrait constituer un tel traitement.
21
Le gouvernement suédois soutient que la notion de «traitement de données à caractère personnel, automatisé en tout ou en partie», telle que visée à l’article 3, paragraphe 1, de la directive 95/46, inclut tout traitement sous un format informatique, c’est-à-dire en format binaire. Par conséquent, dès lors qu’une donnée à caractère personnel est traitée au moyen d’un ordinateur, que ce soit par exemple au moyen d’un programme de traitement de texte ou afin de l’insérer sur une page Internet, elle ferait l’objet d’un traitement couvert par la directive 95/46.
22
Le gouvernement néerlandais fait valoir que l’insertion de données à caractère personnel sur une page Internet se fait à l’aide d’un ordinateur et d’un serveur, ce qui constituerait une caractéristique importante de l’automatisation, de sorte qu’il faudrait considérer que ces données font l’objet d’un traitement automatisé.
23
La Commission soutient que la directive 95/46 s’applique à tout traitement de données à caractère personnel visé à l’article 3 de celle-ci, indépendamment des moyens techniques utilisés. La mise à disposition de données à caractère personnel sur Internet constituerait par conséquent un traitement automatisé, en tout ou en partie, à condition qu’il n’existe pas de limitations techniques qui restreignent le traitement à une opération exclusivement manuelle. Une page Internet relèverait donc, par sa nature même, du champ d’application de la directive 95/46.
Réponse de la Cour
24
La notion de «données à caractère personnel» employée à l’article 3, paragraphe 1, de la directive 95/46 englobe, conformément à la définition figurant à l’article 2, sous a), de celle-ci, «toute information concernant une personne physique identifiée ou identifiable». Cette notion comprend assurément le nom d’une personne joint à ses coordonnées téléphoniques ou à des informations relatives à ses conditions de travail ou à ses passe-temps.
25
Quant à la notion de «traitement» de telles données employée à l’article 3, paragraphe 1, de la directive 95/46, elle comprend, conformément à la définition figurant à l’article 2, sous b), de celle-ci, «toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel». Cette dernière disposition mentionne plusieurs exemples de telles opérations, parmi lesquels figurent la communication par transmission, la diffusion ou toute autre forme de mise à disposition de données. Il s’ensuit que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un tel traitement.
26
Reste à déterminer si ce traitement est «automatisé en tout ou en partie». À cet égard, il convient de relever que faire apparaître des informations sur une page Internet implique, selon les procédures techniques et informatiques appliquées actuellement, de réaliser une opération de chargement de cette page sur un serveur ainsi que les opérations nécessaires pour rendre cette page accessible aux personnes qui se sont connectées à Internet. Ces opérations sont effectuées, au moins en partie, de manière automatisée.
27
Il convient donc de répondre à la première question que l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l’article 3, paragraphe 1, de la directive 95/46.
Sur la deuxième question
28
La première question ayant reçu une réponse affirmative, il n’y a pas lieu de répondre à la deuxième question, qui n’a été posée que pour le cas où la première question appellerait une réponse négative.
Sur la troisième question
29
Par sa troisième question, la juridiction nationale cherche en substance à savoir si un traitement de données à caractère personnel tel que celui visé par la première question relève de l’une des exceptions figurant à l’article 3, paragraphe 2, de la directive 95/46.
Observations soumises à la Cour
30
Mme Lindqvist soutient qu’une personne privée qui, usant de sa liberté d’expression, crée des pages Internet dans le cadre d’une activité à but non lucratif ou de ses loisirs n’exerce pas une activité économique et échappe donc à l’application du droit communautaire. Si la Cour devait juger le contraire, se poserait alors la question de la validité de la directive 95/46, car, en l’adoptant, le législateur communautaire aurait outrepassé les compétences qui lui ont été conférées par l’article 100 A du traité CE (devenu, après modification, article 95 CE). En effet, le rapprochement des législations, qui aurait pour objet l’établissement et le fonctionnement du marché intérieur, ne saurait servir de base légale pour des mesures communautaires qui réglementent le droit des personnes privées à la liberté d’expression sur Internet.
31
Le gouvernement suédois fait valoir que, lors de la transposition de la directive 95/46 en droit interne, le législateur suédois a considéré que le traitement de données à caractère personnel par une personne physique consistant à transmettre ces données à un nombre indéterminé de destinataires, par exemple au moyen d’Internet, ne pouvait être qualifié d’«activité exclusivement personnelle ou domestique» au sens de l’article 3, paragraphe 2, second tiret, de la directive 95/46. En revanche, ce gouvernement n’exclut pas que l’exception prévue au premier tiret de ce paragraphe vise les cas où une personne physique publie des données à caractère personnel sur une page Internet dans le seul cadre de l’exercice de sa liberté d’expression et sans aucun lien avec une activité professionnelle ou commerciale.
32
Selon le gouvernement néerlandais, un traitement automatisé de données tel que celui en cause au principal ne relève d’aucune des exceptions visées à l’article 3, paragraphe 2, de la directive 95/46. S’agissant plus particulièrement de l’exception prévue au second tiret de ce paragraphe, il relève que le créateur d’une page Internet porte les données qui y ont été introduites à la connaissance d’un groupe de personnes qui est, en principe, indéterminé.
33
La Commission fait valoir qu’une page Internet telle que celle en cause au principal ne peut pas être considérée comme échappant au champ d’application de la directive 95/46 en vertu de l’article 3, paragraphe 2, de celle-ci, mais constitue, compte tenu des finalités de la page Internet en cause au principal, une création artistique et littéraire au sens de l’article 9 de ladite directive.
34
Elle considère que l’article 3, paragraphe 2, premier tiret, de la directive 95/46 se prête à deux interprétations différentes. L’une consisterait à limiter la portée de cette disposition aux domaines cités comme exemples, à savoir des activités qui relèvent essentiellement de ce qu’il est convenu d’appeler les deuxième et troisième piliers. L’autre interprétation consisterait à exclure du champ d’application de la directive 95/46 l’exercice de toute activité qui ne relève pas du droit communautaire.
35
La Commission soutient que le droit communautaire ne se limite pas aux seules activités économiques liées aux quatre libertés fondamentales. Se référant à la base juridique de la directive 95/46, à son objectif, à l’article 6 UE, à la charte des droits fondamentaux de l’Union européenne, proclamée à Nice le 18 décembre 2000 (JO C 364, p. 1), et à la convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, elle conclut que cette directive vise à réglementer la libre circulation de données à caractère personnel comme l’exercice non seulement d’une activité économique, mais également d’une activité sociale dans le cadre de l’intégration et du fonctionnement du marché intérieur.
36
Elle ajoute qu’exclure d’une manière générale du champ d’application de la directive 95/46 les pages Internet qui ne contiennent aucun élément commercial ou de prestation de services pourrait entraîner de graves problèmes de délimitation. Un grand nombre de pages Internet contenant des données à caractère personnel, destinées à stigmatiser certaines personnes dans des buts particuliers, pourraient alors se trouver exclues du champ d’application de cette directive.
Réponse de la Cour
37
L’article 3, paragraphe 2, de la directive 95/46 prévoit deux exceptions au champ d’application de celle-ci.
38
La première exception concerne les traitements de données à caractère personnel mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal.
39
Les activités de Mme Lindqvist en cause au principal étant essentiellement non pas économiques mais bénévoles ainsi que religieuses, il convient d’examiner si elles constituent des traitements de données à caractère personnel «mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire» au sens de l’article 3, paragraphe 2, premier tiret, de la directive 95/46.
40
La Cour a déjà jugé à propos de la directive 95/46, fondée sur l’article 100 A du traité, que le recours à cette base juridique ne présuppose pas l’existence d’un lien effectif avec la libre circulation entre États membres dans chacune des situations visées par l’acte fondé sur une telle base (voir arrêt du 20 mai 2003, Österreichischer Rundfunk e.a., C-465/00, C-138/01 et C-139/01, non encore publié au Recueil, point 41 et jurisprudence citée).
41
Une interprétation contraire risquerait de rendre les limites du domaine d’application de ladite directive particulièrement incertaines et aléatoires, ce qui serait contraire à l’objectif essentiel de celle-ci, qui est de rapprocher les dispositions législatives, réglementaires et administratives des États membres afin d’éliminer les obstacles au fonctionnement du marché intérieur découlant précisément des disparités entre les législations nationales (arrêt Österreichischer Rundfunk e.a., précité, point 42).
42
Dans ces conditions, il ne serait pas approprié d’interpréter l’expression «activités qui ne relèvent pas du champ d’application du droit communautaire» comme ayant une portée telle qu’il serait nécessaire de vérifier, au cas par cas, si l’activité spécifique en cause affecte directement la libre circulation entre États membres.
43
Les activités mentionnées à titre d’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 (à savoir les activités prévues aux titres V et VI du traité sur l’Union européenne ainsi que les traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État et les activités relatives à des domaines du droit pénal) sont, dans tous les cas, des activités propres aux États ou aux autorités étatiques et étrangères aux domaines d’activité des particuliers.
44
Il y a donc lieu de considérer que les activités mentionnées en tant qu’exemples à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 sont destinées à définir la portée de l’exception y prévue, de sorte que cette exception ne s’applique qu’aux activités qui y sont ainsi expressément mentionnées ou qui peuvent être rangées dans la même catégorie (ejusdem generis).
45
Or, des activités bénévoles ou religieuses, telles que celles exercées par Mme Lindqvist, ne sont pas assimilables aux activités mentionnées à l’article 3, paragraphe 2, premier tiret, de la directive 95/46 et ne sont donc pas couvertes par cette exception.
46
S’agissant de l’exception prévue à l’article 3, paragraphe 2, second tiret, de la directive 95/46, le douzième considérant de celle-ci, relatif à cette exception, mentionne en tant qu’exemples de traitement de données effectué par une personne physique dans l’exercice d’activités exclusivement personnelles ou domestiques la correspondance et la tenue de répertoires d’adresses.
47
Cette exception doit donc être interprétée comme visant uniquement les activités qui s’insèrent dans le cadre de la vie privée ou familiale des particuliers, ce qui n’est manifestement pas le cas du traitement de données à caractère personnel consistant dans leur publication sur Internet de sorte que ces données sont rendues accessibles à un nombre indéfini de personnes.
48
Il convient donc de répondre à la troisième question qu’un traitement de données à caractère personnel tel que celui mentionné dans la réponse à la première question ne relève d’aucune des exceptions figurant à l’article 3, paragraphe 2, de la directive 95/46.
Sur la quatrième question
49
Par sa quatrième question, la juridiction de renvoi demande si l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46.
50
Eu égard à l’objet de cette directive, il convient de donner à l’expression «données relatives à la santé» employée à son article 8, paragraphe 1, une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne.
51
Il convient donc de répondre à la quatrième question que l’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46.
Sur la cinquième question
52
Par sa cinquième question, la juridiction de renvoi cherche en substance à savoir s’il existe un «transfert vers un pays tiers de données» au sens de l’article 25 de la directive 95/46 lorsqu’une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d’une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée (ci-après le «fournisseur de services d’hébergement») et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers. La juridiction de renvoi demande en outre si la réponse à cette question est identique lorsqu’il apparaît que, en fait, aucun ressortissant d’un pays tiers n’a pris connaissance de ces données ou que le serveur où la page est stockée se trouve, d’un point de vue purement physique, dans un pays tiers.
Observations soumises à la Cour
53
La Commission et le gouvernement suédois considèrent que l’insertion, à l’aide d’un ordinateur, de données à caractère personnel sur une page Internet, de sorte que celles-ci deviennent accessibles à des ressortissants de pays tiers, constitue un transfert de données vers des pays tiers au sens de la directive 95/46. La réponse serait identique si aucun ressortissant d’un pays tiers ne prenait effectivement connaissance desdites données ou si le serveur où celles-ci sont stockées se trouvait, d’un point de vue purement physique, dans un pays tiers.
54
Le gouvernement néerlandais rappelle que la notion de «transfert» n’est pas définie par la directive 95/46. Il considère, d’une part, que cette notion doit être entendue comme visant un acte tendant délibérément à transférer des données à caractère personnel du territoire d’un État membre vers un pays tiers et, d’autre part, qu’une distinction ne peut être établie entre les différentes formes sous lesquelles des données sont rendues accessibles à des tiers. Il en conclut que l’introduction de données à caractère personnel sur une page Internet au moyen d’un ordinateur ne peut pas être considérée comme un transfert vers un pays tiers de données à caractère personnel au sens de l’article 25 de la directive 95/46.
55
Le gouvernement du Royaume-Uni fait valoir que l’article 25 de la directive 95/46 vise les transferts de données vers des pays tiers et non leur accessibilité à partir de pays tiers. La notion de «transfert» impliquerait la transmission d’une donnée par une personne située dans un lieu précis à une tierce personne située dans un autre lieu. Ce ne serait que dans l’hypothèse d’un tel transfert que l’article 25 de la directive 95/46 impose aux États membres de veiller au caractère adéquat du niveau de protection des données à caractère personnel dans un pays tiers.
Réponse de la Cour
56
La directive 95/46 ne définit ni à son article 25 ni dans aucune autre disposition, notamment pas à son article 2, la notion de «transfert vers un pays tiers».
57
Afin de déterminer si l’inscription sur une page Internet de données à caractère personnel, du seul fait qu’elle les rend accessibles aux personnes se trouvant dans un pays tiers, constitue un «transfert» de ces données vers un pays tiers au sens de l’article 25 de la directive 95/46, il est nécessaire de tenir compte, d’une part, de la nature technique des opérations ainsi effectuées et, d’autre part, de l’objectif ainsi que de l’économie du chapitre IV de ladite directive, où figure son article 25.
58
Les informations qui se trouvent sur Internet peuvent être consultées par un nombre indéfini de personnes résidant dans des lieux multiples et presque à tout moment. Le caractère ubiquitaire de ces informations résulte notamment du fait que les moyens techniques utilisés dans le cadre d’Internet sont relativement simples et de moins en moins coûteux.
59
Selon les modalités d’utilisation d’Internet, telles qu’elles sont devenues disponibles à des particuliers comme Mme Lindqvist au cours des années 1990, l’auteur d’une page destinée à être publiée sur Internet transmet les données qui constituent cette page à son fournisseur de services d’hébergement. Celui-ci gère l’infrastructure informatique nécessaire pour assurer le stockage de ces données et la connexion du serveur qui héberge le site Internet. Cela permet la transmission ultérieure de ces données à toute personne qui s’est connectée à Internet et demande à les obtenir. Les ordinateurs qui constituent cette infrastructure informatique peuvent être situés, et même sont souvent situés, dans un ou plusieurs pays autres que celui du lieu d’établissement du fournisseur de services d’hébergement, sans que la clientèle de celui-ci en ait ou puisse raisonnablement en prendre connaissance.
60
Il ressort du dossier que, pour obtenir les informations figurant sur les pages Internet dans lesquelles Mme Lindqvist avait inséré des données relatives à ses collègues, un utilisateur d’Internet devait non seulement se connecter à celui-ci mais aussi effectuer, par une démarche personnelle, les actions nécessaires pour consulter lesdites pages. En d’autres termes, les pages Internet de Mme Lindqvist ne comportaient pas les mécanismes techniques qui auraient permis l’envoi automatique de ces informations à des personnes qui n’avaient pas délibérément cherché à accéder à ces pages.
61
Il s’ensuit que, dans des circonstances telles que celles de l’espèce au principal, les données à caractère personnel qui arrivent sur l’ordinateur d’une personne située dans un pays tiers, en provenance d’une personne qui les a chargées sur un site Internet, n’ont pas été transférées directement entre ces deux personnes mais au travers de l’infrastructure informatique du fournisseur de services d’hébergement où la page est stockée.
62
C’est dans ce contexte qu’il est nécessaire d’examiner si le législateur communautaire avait l’intention, aux fins de l’application du chapitre IV de la directive 95/46, d’inclure dans la notion de «transfert vers un pays tiers de données» au sens de l’article 25 de cette directive des opérations telles que celles effectuées par Mme Lindqvist. Il faut souligner que la cinquième question posée par la juridiction de renvoi ne concerne que ces opérations, à l’exclusion de celles effectuées par les fournisseurs de services d’hébergement.
63
Le chapitre IV de la directive 95/46, dans lequel figure l’article 25, met en place un régime spécial, comportant des règles spécifiques, qui vise à assurer un contrôle par les États membres des transferts de données à caractère personnel vers les pays tiers. Ce chapitre institue un régime complémentaire au régime général mis en place par le chapitre II de ladite directive concernant la licéité de traitements de données à caractère personnel.
64
L’objectif du chapitre IV est défini aux cinquante-sixième à soixantième considérants de la directive 95/46, lesquels énoncent notamment que, si la protection des personnes garantie dans la Communauté par cette directive ne s’oppose pas aux transferts de données à caractère personnel vers des pays tiers assurant un niveau de protection adéquat, ce caractère adéquat doit s’apprécier au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts. Lorsqu’un pays tiers n’offre pas un niveau de protection adéquat, le transfert de données à caractère personnel vers ce pays doit être interdit.
65
L’article 25 de la directive 95/46 impose pour sa part une série d’obligations aux États membres et à la Commission visant à contrôler les transferts de données à caractère personnel vers les pays tiers compte tenu du niveau de protection accordé à de telles données dans chacun de ces pays.
66
En particulier, l’article 25, paragraphe 4, de la directive 95/46 prévoit que, lorsque la Commission constate qu’un pays tiers n’assure pas un niveau de protection adéquat, les États membres prennent les mesures nécessaires en vue d’empêcher tout transfert de données à caractère personnel vers le pays tiers en cause.
67
Le chapitre IV de la directive 95/46 ne contient aucune disposition concernant l’utilisation d’Internet. Il ne précise notamment pas les critères permettant de déterminer si, en ce qui concerne les opérations effectuées par l’intermédiaire de fournisseurs de services d’hébergement, il convient de se fonder sur le lieu de l’établissement du fournisseur ou son domicile professionnel ou bien sur le ou les lieux où sont situés les ordinateurs qui constituent l’infrastructure informatique du fournisseur.
68
Eu égard, d’une part, à l’état du développement d’Internet à l’époque de l’élaboration de la directive 95/46 et, d’autre part, à l’absence, dans son chapitre IV, de critères applicables à l’utilisation d’Internet, on ne saurait présumer que le législateur communautaire avait l’intention d’inclure prospectivement dans la notion de «transfert vers un pays tiers de données» l’inscription, par une personne se trouvant dans la situation de Mme Lindqvist, de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant les moyens techniques d’y accéder.
69
Si l’article 25 de la directive 95/46 était interprété en ce sens qu’il existe un «transfert vers un pays tiers de données» chaque fois que des données à caractère personnel sont chargées sur une page Internet, ce transfert serait nécessairement un transfert vers tous les pays tiers où existent les moyens techniques nécessaires pour accéder à Internet. Le régime spécial prévu par le chapitre IV de ladite directive deviendrait donc nécessairement, en ce qui concerne les opérations sur Internet, un régime d’application générale. En effet, dès que la Commission constaterait, en application de l’article 25, paragraphe 4, de la directive 95/46, qu’un seul pays tiers n’assure pas un niveau de protection adéquat, les États membres seraient obligés d’empêcher toute mise sur Internet de données à caractère personnel.
70
Dans ces conditions, il y a lieu de conclure que l’article 25 de la directive 95/46 doit être interprété en ce sens que des opérations telles que celles effectuées par Mme Lindqvist ne constituent pas en elles-mêmes un «transfert vers un pays tiers de données». Il n’est donc pas nécessaire de rechercher si une personne d’un pays tiers a eu accès à la page Internet concernée ou si le serveur de ce fournisseur est physiquement situé dans un pays tiers.
71
Il convient donc de répondre à la cinquième question qu’il n’existe pas de «transfert vers un pays tiers de données» au sens de l’article 25 de la directive 95/46 lorsqu’une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès de son fournisseur de services d’hébergement qui est établi dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.
Sur la sixième question
72
Par sa sixième question, la juridiction de renvoi demande s’il faut considérer que les dispositions de la directive 95/46 comportent, dans un cas comme celui de l’espèce au principal, une restriction contraire au principe général de la liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et correspondant notamment au droit prévu à l’article 10 de la CEDH.
Observations soumises à la Cour
73
Se référant, notamment, à l’arrêt du 6 mars 2001, Connolly/Commission (C-274/99 P, Rec. p. I-1611), Mme Lindqvist fait valoir que la directive 95/46 et la PUL, en ce qu’elles prévoient des conditions de consentement préalable et de notification préalable à une autorité de contrôle ainsi qu’un principe d’interdiction du traitement des données à caractère personnel de nature sensible, sont contraires au principe général de la liberté d’expression reconnu en droit communautaire. Plus particulièrement, elle soutient que la définition du «traitement de données à caractère personnel, automatisé en tout ou en partie,» ne satisfait pas aux critères de prévisibilité et de précision.
74
En outre, selon elle, le simple fait de citer nominativement une personne physique, de révéler ses coordonnées téléphoniques et ses conditions de travail ainsi que de donner des informations sur son état de santé et ses loisirs, informations qui seraient publiques, notoirement connues ou triviales, n’est pas constitutif d’une violation substantielle du droit au respect de la vie privée. Mme Lindqvist considère que, en tout état de cause, les contraintes imposées par la directive 95/46 sont disproportionnées au regard de l’objectif recherché de protection de la réputation et de la vie privée d’autrui.
75
Le gouvernement suédois considère que la directive 95/46 permet de mettre en balance les intérêts en cause et, ainsi, de sauvegarder la liberté d’expression et la protection de la vie privée. Il ajoute que seul le juge national peut, compte tenu des circonstances de chaque cas particulier, apprécier la proportionnalité de la restriction à l’exercice du droit à la liberté d’expression qu’entraîne l’application de règles visant à la protection des droits d’autrui.
76
Le gouvernement néerlandais rappelle que tant la liberté d’expression que le droit au respect de la vie privée font partie des principes généraux du droit dont la Cour assure le respect et que la CEDH n’établit aucune hiérarchie entre les différents droits fondamentaux. Il considère dès lors que la juridiction nationale doit s’efforcer de concilier les différents droits fondamentaux en cause en prenant en considération les circonstances du cas d’espèce.
77
Le gouvernement du Royaume-Uni note que sa proposition de réponse à la cinquième question, exposée au point 55 du présent arrêt, s’accorde parfaitement avec les droits fondamentaux et permet d’éviter de porter atteinte de manière disproportionnée à la liberté d’expression. Il ajoute qu’une interprétation qui aurait pour effet qu’une publication de données à caractère personnel sous une forme particulière, à savoir sur une page Internet, soit sujette à des restrictions beaucoup plus sévères que celles applicables aux publications réalisées sous d’autres formes de publication, telles que le papier, serait difficile à justifier.
78
La Commission soutient également que la directive 95/46 n’implique pas une restriction contraire au principe général de la liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et correspondant notamment au droit prévu à l’article 10 de la CEDH.
Réponse de la Cour
79
Il ressort du septième considérant de la directive 95/46 que l’établissement et le fonctionnement du marché intérieur sont susceptibles d’être sérieusement affectés par les différences entre les régimes nationaux applicables au traitement des données à caractère personnel. Selon le troisième considérant de la même directive, l’harmonisation de ces régimes nationaux doit avoir pour objectifs non seulement la libre circulation de ces données entre États membres, mais également la sauvegarde des droits fondamentaux des personnes. Ces objectifs peuvent évidemment entrer en conflit.
80
D’une part, l’intégration économique et sociale résultant de l’établissement et du fonctionnement du marché intérieur entraînera nécessairement une augmentation sensible des flux de données à caractère personnel entre tous les acteurs de la vie économique et sociale des États membres, qu’il s’agisse d’entreprises ou d’administrations des États membres. Lesdits acteurs ont, dans une certaine mesure, besoin de disposer de données à caractère personnel pour effectuer leurs transactions ou pour accomplir leur mission dans le cadre de l’espace sans frontières que constitue le marché intérieur.
81
D’autre part, les personnes concernées par le traitement de données à caractère personnel demandent à juste titre que ces données soient protégées de manière efficace.
82
Les mécanismes permettant de mettre en balance ces différents droits et intérêts sont inscrits, d’une part, dans la directive 95/46 elle-même, en ce qu’elle prévoit des règles qui déterminent dans quelles situations et dans quelle mesure le traitement des données à caractère personnel est licite et quelles sauvegardes doivent être prévues. D’autre part, ils résultent de l’adoption, par les États membres, de dispositions nationales assurant la transposition de cette directive et de l’éventuelle application de celles-ci par les autorités nationales.
83
Quant à la directive 95/46 elle-même, ses dispositions sont nécessairement relativement générales vu qu’elle doit s’appliquer à un grand nombre de situations très diverses. Contrairement à ce que prétend Mme Lindqvist, c’est donc à juste titre que cette directive comporte des règles caractérisées par une certaine souplesse et qu’elle laisse dans de nombreux cas aux États membres le soin d’arrêter les détails ou de choisir parmi des options.
84
Il est vrai que les États membres disposent à maints égards d’une marge de manoeuvre en vue de la transposition de la directive 95/46. Toutefois, rien ne permet de considérer que le régime que celle-ci prévoit manque de prévisibilité ou que ses dispositions sont, en tant que telles, contraires aux principes généraux du droit communautaire et, notamment, aux droits fondamentaux protégés par l’ordre juridique communautaire.
85
C’est donc plutôt au stade de la mise en oeuvre sur le plan national de la réglementation transposant la directive 95/46 dans des cas d’espèce particuliers que doit être trouvé un juste équilibre des droits et intérêts visés.
86
Dans ce contexte, les droits fondamentaux revêtent une importance particulière, ainsi que le démontre l’affaire au principal où il est en substance nécessaire de mettre en balance, d’une part, la liberté d’expression de Mme Lindqvist dans le cadre de son travail comme formatrice de communiants ainsi que la liberté d’exercer des activités contribuant à la vie religieuse et, d’autre part, la protection de la vie privée des personnes à propos desquelles Mme Lindqvist a fait figurer des données sur son site Internet.
87
Par conséquent, il incombe aux autorités et aux juridictions des États membres non seulement d’interpréter leur droit national d’une manière conforme à la directive 95/46, mais également de veiller à ne pas se fonder sur une interprétation de cette dernière qui entrerait en conflit avec les droits fondamentaux protégés par l’ordre juridique communautaire ou avec les autres principes généraux du droit communautaire, tels que le principe de proportionnalité.
88
S’il est vrai que la protection de la vie privée requiert l’application de sanctions efficaces à l’encontre des personnes traitant des données à caractère personnel d’une manière non conforme à la directive 95/46, de telles sanctions doivent toujours respecter le principe de proportionnalité. Il en va d’autant plus ainsi que le champ d’application de la directive 95/46 apparaît très large et que les obligations des personnes qui procèdent à des traitements de données à caractère personnel sont nombreuses et importantes.
89
En application du principe de proportionnalité, il incombe à la juridiction de renvoi de prendre en considération toutes les circonstances de l’affaire dont elle est saisie, notamment la durée de la violation des règles mettant en oeuvre la directive 95/46 ainsi que l’importance, pour les intéressés, de la protection des données divulguées.
90
Il convient donc de répondre à la sixième question que les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et correspondant notamment à l’article 10 de la CEDH. Il appartient aux autorités et aux juridictions nationales chargées d’appliquer la réglementation nationale transposant la directive 95/46 d’assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l’ordre juridique communautaire.
Sur la septième question
91
Par sa septième question, la juridiction de renvoi demande en substance s’il est loisible aux États membres de prévoir une protection des données à caractère personnel plus forte ou un champ d’application plus large que ceux résultant de la directive 95/46.
Observations soumises à la Cour
92
Le gouvernement suédois affirme que la directive 95/46 ne se contente pas de fixer des conditions minimales de protection des données à caractère personnel. Les États membres seraient, dans le cadre de la transposition de cette directive, obligés de réaliser le niveau de protection fixé par celle-ci et ils ne seraient pas habilités à prévoir une protection plus forte ou plus faible. Toutefois, il conviendrait de tenir compte de la marge d’appréciation dont disposent les États membres lors de ladite transposition pour préciser dans leur droit interne les conditions générales de licéité du traitement des données à caractère personnel.
93
Le gouvernement néerlandais soutient que la directive 95/46 ne s’oppose pas à ce que les États membres prévoient une protection plus forte dans certains domaines. Il ressortirait par exemple des articles 10, 11, paragraphe 1, 14, premier alinéa, sous a), 17, paragraphe 3, 18, paragraphe 5, et 19, paragraphe 1, de ladite directive que les États membres peuvent prévoir une protection plus large. En outre, les États membres seraient libres d’appliquer les principes de la directive 95/46 également à des activités qui ne relèvent pas du champ d’application de celle-ci.
94
La Commission fait valoir que la directive 95/46 est fondée sur l’article 100 A du traité et que, si un État membre souhaite maintenir ou instaurer une législation qui déroge à une telle directive d’harmonisation, il est tenu de la notifier à la Commission conformément au paragraphe 4 ou au paragraphe 5 de l’article 95 CE. La Commission soutient en conséquence qu’un État membre ne saurait prévoir une protection des données à caractère personnel plus étendue ou un champ d’application plus large que ceux qui résultent de ladite directive.
Réponse de la Cour
95
La directive 95/46 vise, ainsi qu’il ressort notamment de son huitième considérant, à rendre équivalent dans tous les États membres le niveau de protection des droits et libertés des personnes à l’égard du traitement de données à caractère personnel. Son dixième considérant ajoute que le rapprochement des législations nationales applicables en la matière ne doit pas conduire à affaiblir la protection qu’elles assurent, mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté.
96
L’harmonisation desdites législations nationales ne se limite donc pas à une harmonisation minimale, mais aboutit à une harmonisation qui est, en principe, complète. C’est dans cette optique que la directive 95/46 entend assurer la libre circulation des données à caractère personnel, tout en garantissant un haut niveau de protection des droits et des intérêts des personnes visées par ces données.
97
Il est vrai que la directive 95/46 reconnaît aux États membres une marge de manoeuvre dans certains domaines et qu’elle les autorise à maintenir ou à introduire des régimes particuliers pour des situations spécifiques ainsi qu’en témoignent un grand nombre de ses dispositions. Toutefois, de telles possibilités doivent être utilisées de la manière prévue par la directive 95/46 et conformément à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée.
98
En revanche, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle.
99
Au vu de ces considérations, il convient de répondre à la septième question que les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu’à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle.
Sur les dépens
100
Les frais exposés par les gouvernements suédois, néerlandais et du Royaume-Uni, ainsi que par la Commission et l’Autorité de surveillance AELE, qui ont soumis des observations à la Cour, ne peuvent faire l’objet d’un remboursement. La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens.
Par ces motifs,
LA COUR,
statuant sur les questions à elle soumises par le Göta hovrätt, par ordonnance du 23 février 2001, dit pour droit:
1)
L’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie,» au sens de l’article 3, paragraphe 1, de la directive 95/46 /CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données .
2)
Un tel traitement de données à caractère personnel ne relève d’aucune des exceptions figurant à l’article 3, paragraphe 2, de la directive 95/46.
3)
L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, paragraphe 1, de la directive 95/46.
4)
Il n’existe pas de «transfert vers un pays tiers de données» au sens de l’article 25 de la directive 95/46 lorsqu’une personne qui se trouve dans un État membre inscrit sur une page Internet, stockée auprès d’une personne physique ou morale qui héberge le site Internet sur lequel la page peut être consultée et qui est établie dans ce même État ou un autre État membre, des données à caractère personnel, les rendant ainsi accessibles à toute personne qui se connecte à Internet, y compris des personnes se trouvant dans des pays tiers.
5)
Les dispositions de la directive 95/46 ne comportent pas, en elles-mêmes, une restriction contraire au principe général de la liberté d’expression ou à d’autres droits et libertés applicables dans l’Union européenne et correspondant notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950. Il appartient aux autorités et aux juridictions nationales chargées d’appliquer la réglementation nationale transposant la directive 95/46 d’assurer un juste équilibre des droits et intérêts en cause, y compris les droits fondamentaux protégés par l’ordre juridique communautaire.
6)
Les mesures prises par les États membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive 95/46 qu’à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée. En revanche, rien ne s’oppose à ce qu’un État membre étende la portée de la législation nationale transposant les dispositions de la directive 95/46 à des domaines non inclus dans le champ d’application de cette dernière, pour autant qu’aucune autre disposition du droit communautaire n’y fasse obstacle.
* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.