Publications
19/07/2017

Alliancy.fr : « En cas de litige, doit-on communiquer des données personnelles ? » par Elise Dufour

Elise Dufour, Of Counsel, signe une tribune au sujet d’un arrêt rendu le 4 mai 2017 par la Cour de Justice de l’Union européenne et en rapport avec la licéité du traitement des données à caractère personnel.

Dans un arrêt du 4 mai 2017*, la Cour de justice de l’Union européenne précise que trois conditions cumulatives doivent être remplies pour qu’un traitement de données à caractère personnel soit licite.

Existe-t-il une obligation pesant sur la police nationale à communiquer l’identité, mais aussi le numéro d’identification et l’adresse d’une personne physique, responsable d’un accident de la route, de façon à permettre à la victime d’introduire un recours civil ? Telle a été la question posée à la Cour de justice de l’Union européenne (CJUE) par la Cour suprême de Lettonie sur la base des faits suivants.

En ouvrant sa portière, le passager d’un taxi a endommagé le trolleybus de Rīgas satiksme, en Lettonie. Le trolleybus, souhaitant obtenir réparation, a demandé à la police nationale de Rigas (Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs) de lui communiquer le nom du passager du taxi, son numéro d’identification et son adresse, ainsi que l’envoi de la copie des documents où apparaissent les explications du chauffeur de taxi et du passager sur les circonstances de l’accident.

La police n’a répondu que partiellement à la demande de Rīgas satiksme et ne lui a communiqué que les nom et prénom du passager du taxi au motif que le droit letton n’autorisait pas la communication des informations demandées qu’aux parties à une affaire. Rīgas satiksme n’étant pas partie à la procédure administrative ayant sanctionné l’auteur des faits, la communication ne pouvait être réalisée.

En outre, pour la police lettone, l’article 7 de la Fizisko personu datu aizsardzības likums (la loi sur la protection des données des personnes physiques) n’obligerait pas le responsable du traitement (en l’espèce, la police) à procéder au traitement des données : il le permet simplement.

Rīgas satiksme ne pouvant retrouver l’identité de l’auteur des faits sur la seule base de ses nom et prénom, les risques d’homonymie étant trop grands, elle a saisi la juridiction nationale pour obtenir communication des autres éléments demandés, à savoir son numéro d’identification et son adresse.

La Cour suprême de Lettonie a souhaité savoir si, en application de la directive, il existe une obligation de communiquer les données permettant l’identification d’une personne prétendument coupable d’une infraction administrative afin que Rīgas Satiksme puisse saisir le juge civil. Elle a saisi la CJUE de cette question.

Dans un arrêt du 4 mai 2017, la Cour de justice de l’Union européenne (CJUE) a estimé que l’article 7 (f), de la directive 95/46/CE, doit être interprété en ce sens :

  • « qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données» tout en précisant que l’article 7, sous f), de cette directive « ne s’oppose pas à une telle communication sur la base du droit national ».

Le raisonnement de la CJUE est à ce titre le suivant :

La CJUE rappelle qu’aux termes de l’article 7 de la directive, le traitement de données à caractère personnel ne peut être effectué que sous certaines conditions et notamment si :

(…)

(f)    il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er, paragraphe ».

Pour la CJUE, le traitement des données à caractère personnel doit donc, par nature, demeurer exceptionnel. Aucune obligation de communication de données personnelle n’est ainsi prévue par la directive.

En d’autres termes, il existe pour le responsable de traitement qu’une simple faculté ou une possibilité de procéder au traitement des données à caractère personnel, et non une obligation, et ce sous réserve que le contexte factuel relève d’une des exceptions prévues par la directive.

Sur cette base, la CJUE a donc examiné si les conditions de l’article 7 (f) étaient réunies au cas d’espèce pour autoriser cette communication.

Pour la CJUE, l’article 7 (f), prévoit trois conditions cumulatives afin que le traitement des données à caractère personnel soit licite :

  • D’abord, il doit être nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers ou par les parties auxquels les données sont communiquées.
  • Ensuite, les droits et libertés fondamentaux de la personne concernée ne doivent pas prévaloir sur cet intérêt.
  • Enfin, le traitement doit être nécessaire à la réalisation de cet intérêt légitime.

Pour la CJUE, ces trois conditions sont dans le cas d’espèce réunies. Le traitement des données personnelles était licite, sous réserve que le droit national prévoit la communication de données à caractère personnel dans telles circonstances.

Le droit letton ne l’y autorisant pas, la police nationale était donc légitime à refuser une telle communication.

* CJUE, 2ème chambre, 4 mai 2017 (affaire C‑13/16 – ECLI:EU:C:2017:336), Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde c/ Rīgas pašvaldības SIA “Rīgas satiksme”

Retrouvez cette tribune sur le site Alliancy.fr en cliquant ici.