Your World of Legal Intelligence
 European Union | 1-800-335-6202

Patrick Breyer v Bundesrepublik Deutschland.

Judgment Cited authorities 12 Cited in 98 Precedent Map Related
Vincent
JurisdictionEuropean Union
ECLIECLI:EU:C:2016:779
Docket NumberC-582/14
Celex Number62014CJ0582
CourtCourt of Justice (European Union)
Procedure TypeReference for a preliminary ruling
Date19 October 2016
62014CJ0582

ARRÊT DE LA COUR (deuxième chambre)

19 octobre 2016 ( *1 )

«Renvoi préjudiciel — Traitement des données à caractère personnel — Directive 95/46/CE — Article 2, sous a) — Article 7, sous f) — Notion de “données à caractère personnel” — Adresses de protocole Internet — Conservation par un fournisseur de services de médias en ligne — Réglementation nationale ne permettant pas la prise en compte de l’intérêt légitime poursuivi par le responsable du traitement»

Dans l’affaire C‑582/14,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par le Bundesgerichtshof (Cour fédérale de justice, Allemagne), par décision du 28 octobre 2014, parvenue à la Cour le 17 décembre 2014, dans la procédure

Patrick Breyer

contre

Bundesrepublik Deutschland,

LA COUR (deuxième chambre),

composée de M. Ilešič, président de chambre, Mme A. Prechal, M. A. Rosas (rapporteur), Mme C. Toader et M. E. Jarašiūnas, juges,

avocat général : M. M. Campos Sánchez-Bordona,

greffier : Mme V. Giacobbo-Peyronnel, administrateur,

vu la procédure écrite et à la suite de l’audience du 25 février 2016,

considérant les observations présentées :

pour M. Breyer, par Me M. Starostik, Rechtsanwalt,

pour le gouvernement allemand, par MM. A. Lippstreu et T. Henze, en qualité d’agents,

pour le gouvernement autrichien, par M. G. Eberhard, en qualité d’agent,

pour le gouvernement portugais, par M. L. Inez Fernandes et Mme C. Vieira Guerra, en qualité d’agents,

pour la Commission européenne, par MM. P. J. O. Van Nuffel et H. Krämer, ainsi que par Mmes P. Costa de Oliveira et J. Vondung, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 12 mai 2016,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 2, sous a), et de l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2

Cette demande a été présentée dans le cadre d’un litige opposant M. Patrick Breyer à la Bundesrepublik Deutschland (République fédérale d’Allemagne), au sujet de l’enregistrement et de la conservation par cette dernière de l’adresse de protocole Internet (ci‑après l’« adresse IP ») de M. Breyer lors de la consultation par celui‑ci de plusieurs sites Internet des services fédéraux allemands.

Le cadre juridique

Le droit de l’Union

3

Le considérant 26 de la directive 95/46 est libellé comme suit :

« considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; que les codes de conduite au sens de l’article 27 peuvent être un instrument utile pour fournir des indications sur les moyens par lesquels les données peuvent être rendues anonymes et conservées sous une forme ne permettant plus l’identification de la personne concernée ».

4

Aux termes de l’article 1er de ladite directive :

« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »

5

L’article 2 de la même directive énonce :

« Aux fins de la présente directive, on entend par :

a)

“données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ;

b)

“traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

[…]

d)

“responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire ;

[…]

f)

“tiers” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous‑traitant, sont habilitées à traiter les données ;

[…] »

6

L’article 3 de la directive 95/46, intitulé « Champ d’application », prévoit :

«1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

2. La présente directive ne s’applique pas au traitement de données à caractère personnel :

mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal,

[…]»

7

L’article 5 de ladite directive dispose :

« Les États membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites. »

8

L’article 7 de la même directive est libellé comme suit :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)

la personne concernée a indubitablement donné son consentement

ou

b)

il est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle‑ci

ou

c)

il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

ou

d)

il est nécessaire à la sauvegarde de l’intérêt vital de la personne concernée

ou

e)

il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f)

il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1. »

9

L’article 13, paragraphe 1, de la directive 95/46 dispose :

« Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6, paragraphe 1, à l’article 10, à l’article 11, paragraphe 1, et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder :

[…]

d)

la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées ;

[…] »

Le droit allemand

10

L’article 12 du Telemediengesetz (loi sur les médias en ligne), du 26 février 2007 (BGBl. 2007 I, p. 179, ci‑après le « TMG »), dispose :

« 1) Le fournisseur de services ne peut collecter et utiliser des données à caractère personnel aux fins de la mise à disposition de médias en ligne que si la présente loi ou un autre instrument juridique qui vise expressément les médias en ligne l’autorise ou si l’utilisateur y a consenti.

2) Le fournisseur de services ne peut utiliser les données à caractère personnel collectées aux fins de la mise à disposition de médias en ligne à d’autres fins que si la présente loi...

To continue reading

Request your trial
20 practice notes
  • Gesamtverband Autoteile-Handel e.V. v Scania CV AB.
    • European Union
    • Court of Justice (European Union)
    • 9 November 2023
    ...enabling that person to be identified should be in the hands of a single entity (see, to that effect, judgment of 19 October 2016, Breyer (C‑582/14, EU:C:2016:779, paragraphs 42 and 46 As the Advocate General observed in points 34 and 39 of his Opinion, a datum such as the VIN – which is de......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 4 May 2023.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...de la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), apartado 35. 15 Sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartados 42 y 16 Anexo I, punto II.5, código E, de la Directiva 1999/37. 17 Como ha hecho notar la Comisión en el apartado 53 d......
  • Orange Romania SA v Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).
    • European Union
    • Court of Justice (European Union)
    • 11 November 2020
    ...Daten als rechtmäßig angesehen werden kann (vgl. in Bezug auf Art. 7 der Richtlinie 95/46 Urteile vom 19. Oktober 2016, Breyer, C‑582/14, EU:C:2016:779, Rn. 57 und die dort angeführte Rechtsprechung, sowie vom 1. Oktober 2019, Planet49, C‑673/17, EU:C:2019:801, Rn. 53). Art. 7 Buchst. a die......
  • Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V. v Planet49 GmbH.
    • European Union
    • Court of Justice (European Union)
    • 1 October 2019
    ...Nacional de Establecimientos Financieros de Crédito, C‑468/10 and C‑469/10, EU:C:2011:777, paragraph 30, and of 19 October 2016, Breyer, C‑582/14, EU:C:2016:779, paragraph 54 In particular, Article 7(a) of Directive 95/46 provides that the data subject’s consent may make such processing law......
    • Request a trial to view additional results
15 cases
  • Fashion ID GmbH & Co.KG contra Verbraucherzentrale NRW eV.
    • European Union
    • Court of Justice (European Union)
    • 29 July 2019
    ...de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartados 30 y 32, y de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 56 Sin embargo, el Tribunal de Justicia también ha precisado que la Directiva 95/46 contiene normas que son relativamente ......
  • Opinion of Advocate General Rantos delivered on 20 September 2022.
    • European Union
    • Court of Justice (European Union)
    • 20 September 2022
    ...anerkannt (vgl. u. a. Urteile vom 13. Mai 2014, Google Spain und Google [C‑131/12, EU:C:2014:317, Rn. 81], vom 19. Oktober 2016, Breyer [C‑582/14, EU:C:2016:779, Rn. 55], vom 4. Mai 2017, Rīgas satiksme [C‑13/16, EU:C:2017:336, Rn. 29], vom 24. September 2019, GC u. a. [Auslistung sensibler......
  • Single Resolution Board v European Data Protection Supervisor.
    • European Union
    • General Court (European Union)
    • 26 April 2023
    ...en el momento del tratamiento como los avances tecnológicos. […]» 88 Procede señalar que, en la sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), el Tribunal de Justicia interpretó el concepto de datos personales en el sentido del artículo 2, letra a), de la Directiva 95......
  • Bundesverband der Verbraucherzentralen und Verbraucherverbände - Verbraucherzentrale Bundesverband e.V. v Planet49 GmbH.
    • European Union
    • Court of Justice (European Union)
    • 1 October 2019
    ...Nacional de Establecimientos Financieros de Crédito, C‑468/10 and C‑469/10, EU:C:2011:777, paragraph 30, and of 19 October 2016, Breyer, C‑582/14, EU:C:2016:779, paragraph 54 In particular, Article 7(a) of Directive 95/46 provides that the data subject’s consent may make such processing law......
    • Request a trial to view additional results
2 firm's commentaries
  • Breyer Ruling, And Dynamic IP Addresses As Personal Data
    • European Union
    • Mondaq European Union
    • 28 February 2018
    ...2(a) of Directive 95/46/EC and its scope. From our perspective, the judgement of the Court of Justice of the European Union in the case C-582/14 Patrick Breyer v. Bundesrepublik Deutschland is not surprising as this decision only articulates a long-time general opinion on the issue of dynam......
  • ECJ Confirms Dynamic IP Address May Constitute Personal Data But Can Be Logged To Combat Cyberattacks
    • European Union
    • Mondaq European Union
    • 4 November 2016
    ...19 October 2016, the European Court of Justice (ECJ) held (Case C-582/14 - Breyer v Federal Republic of Germany) that dynamic IP addresses may constitute personal data. The ECJ also held that a website operator may collect and process IP addresses for the purpose of protecting itself agains......
2 books & journal articles
  • The definition of personal data
    • European Union
    • Blockchain and the general data protection regulation. Can distributed ledgers be squared with European data protection law?
    • 6 August 2019
    ...the ISP. 166 161 Article 29 Working Party, Opinion 04/2007 on the concept of personal data (WP 136) 01248/07/EN, 15 (emphasis added). 162 Case C-582/14 Breyer [2016] EU:C:2016:779. 163 Case C-70/10 Scarlet Extended [2011] EU:C:2011:771. 164 Case C-582/14 Breyer [2016] EU:C:2016:779, para 35......
  • Judgment of the General Court Eighth Chamber, Extended Composition, 26 April 2023, SRB v EDPS, T-557/20
    • European Union
    • European Case Law Digest No. 2023-04, April 2023
    • 26 April 2023
    ...of 20 December 2017, Commission v Bulgaria (C-488/16, EU:C:2017:994). 7 Judgment of 19 October 2016, Commission v Bulgaria (C-488/14, EU:C:2016:779). 4 cannot be ruled out that personal views or opinions may constitute personal data. However, it is apparent from the judgment in Nowak 8 that......

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT