Your World of Legal Intelligence
 European Union | 1-800-335-6202

Peter Nowak v Data Protection Commissioner.

Judgment Cited authorities 19 Cited in 79 Precedent Map Related
Vincent
JurisdictionEuropean Union
ECLIECLI:EU:C:2017:994
Docket NumberC-434/16
Celex Number62016CJ0434
CourtCourt of Justice (European Union)
Procedure TypeReference for a preliminary ruling
Date20 December 2017
62016CJ0434

ARRÊT DE LA COUR (deuxième chambre)

20 décembre 2017 ( *1 )

« Renvoi préjudiciel – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46/CE – Article 2, sous a) – Notion de “données à caractère personnel” – Réponses écrites fournies par le candidat lors d’un examen professionnel – Annotations de l’examinateur relatives à ces réponses – Article 12, sous a) et b) – Étendue des droits d’accès et de rectification de la personne concernée »

Dans l’affaire C‑434/16,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par la Supreme Court (Cour suprême, Irlande), par décision du 29 juillet 2016, parvenue à la Cour le 4 août 2016, dans la procédure

Peter Nowak

contre

Data Protection Commissioner,

LA COUR (deuxième chambre),

composée de M. M. Ilešič (rapporteur), président de chambre, M. A. Rosas, Mmes C. Toader, A. Prechal et M. E. Jarašiūnas, juges,

avocat général : Mme J. Kokott,

greffier : M. M. Aleksejev, administrateur,

vu la procédure écrite et à la suite de l’audience du 22 juin 2017,

considérant les observations présentées :

pour M. Nowak, par M. G. Rudden, solicitor, et M. N. Travers, SC,

pour le Data Protection Commissioner, par M. D. Young, solicitor, et M. P. A. McDermott, SC,

pour l’Irlande, par Mmes E. Creedon et L. Williams ainsi que par M. A. Joyce, en qualité d’agents, assistés de Mme A. Caroll, barrister,

pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil, en qualité d’agents,

pour le gouvernement hellénique, par Mmes G. Papadaki et S. Charitaki, en qualité d’agents,

pour le gouvernement hongrois, par M. M. Z. Fehér et Mme A. Pálfy, en qualité d’agents,

pour le gouvernement autrichien, par M. G. Eberhard, en qualité d’agent,

pour le gouvernement polonais, par M. B. Majczyna, en qualité d’agent,

pour le gouvernement portugais, par MM. L. Inez Fernandes et M. Figueiredo ainsi que par Mme I. Oliveira, en qualité d’agents,

pour la Commission européenne, par MM. D. Nardi et H. Kranenborg, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 20 juillet 2017,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2

Cette demande a été présentée dans le cadre d’un litige opposant M. Peter Nowak au Data Protection Commissioner (commissaire à la protection des données, Irlande) au sujet du refus, par ce dernier, de donner à M. Nowak l’accès à une copie corrigée d’un examen auquel celui-ci était candidat, au motif que les informations qui y étaient contenues ne constituaient pas des données à caractère personnel.

Le cadre juridique

Le droit de l’Union

La directive 95/46

3

La directive 95/46 qui, selon son article 1er, a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données, énonce, à ses considérants 25, 26 et 41 :

« (25)

considérant que les principes de la protection doivent trouver leur expression, d’une part, dans les obligations mises à la charge des personnes [...] qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances ;

(26)

considérant que les principes de la protection doivent s’appliquer à toute information concernant une personne identifiée ou identifiable ; que, pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne ; que les principes de la protection ne s’appliquent pas aux données rendues anonymes d’une manière telle que la personne concernée n’est plus identifiable ; [...]

[...]

(41)

considérant que toute personne doit pouvoir bénéficier du droit d’accès aux données la concernant qui font l’objet d’un traitement, afin de s’assurer notamment de leur exactitude et de la licéité de leur traitement ; [...] »

4

La notion de « données à caractère personnel » est définie à l’article 2, sous a), de cette directive comme « toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».

5

L’article 6 de ladite directive, placé sous la section I, intitulée « Principes relatifs à la qualité des données », du chapitre II de cette directive, est libellé comme suit :

« 1. Les États membres prévoient que les données à caractère personnel doivent être :

a)

traitées loyalement et licitement ;

b)

collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ;

c)

adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ;

d)

exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ;

e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.

2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. »

6

L’article 7 de la directive 95/46, placée sous la section II, intitulée « Principes relatifs à la légitimation des traitements de données », du chapitre II de cette directive, dispose :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

a)

la personne concernée a indubitablement donné son consentement

ou

[...]

c)

il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis

ou

[...]

e)

il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, dont est investi le responsable du traitement ou le tiers auquel les données sont communiquées

ou

f)

il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1. »

7

L’article 12 de cette directive, intitulé « Droit d’accès », énonce :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :

a)

sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs :

la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

[...]

b)

selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

c)

la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné. »

8

L’article 13 de...

To continue reading

Request your trial
20 practice notes
  • Opinion of Advocate General Medina delivered on 8 June 2023.
    • European Union
    • Court of Justice (European Union)
    • 8 June 2023
    ...(GDPR): A Commentary, Oxford University Press, Oxford, 2021, pagg. da 146 a 150. 10 V., in tal senso, sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994, punto 11 Ibid., punto 34, e sentenza del 24 febbraio 2022, Valsts ieņēmumu dienests (Trattamento di dati personali a fini fisc......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 4 May 2023.
    • European Union
    • Court of Justice (European Union)
    • 4 May 2023
    ...de datos personales — Instrucción penal) (C‑180/21, EU:C:2022:967), apartado 70, con cita de la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), apartado 15 Sentencia de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartados 42 y 43. 16 Anexo I, punto II.5,......
  • Conclusiones del Abogado General Sr. P. Pikamäe, presentadas el 9 de diciembre de 2021.
    • European Union
    • Court of Justice (European Union)
    • 9 December 2021
    ...di pubblicazione online dei dati nominativi relativi al coniuge, al convivente o al partner. 41 V. sentenza del 20 dicembre 2017, Nowak (C‑434/16, EU:C:2017:994, punto 42 V. articoli 77 e 79 del RGPD. 43 Nella sentenza del 20 maggio 2003, Österreichischer Rundfunk e.a. (C‑465/00, C‑138/01 e......
  • Conclusiones del Abogado General Sr. G. Pitruzzella, presentadas el 15 de diciembre de 2022.
    • European Union
    • Court of Justice (European Union)
    • 15 December 2022
    ...à la première phrase de ce même paragraphe. » 1 Langue originale : l’italien. 2 JO 2016, L 119, p. 1. 3 Arrêt du 20 décembre 2017, Nowak (C‑434/16, 4 Voir les références à la doctrine et la jurisprudence autrichiennes et allemandes aux points 1 et 2, respectivement, de la décision de renvoi......
    • Request a trial to view additional results
15 cases
  • Opinion of Advocate General Saugmandsgaard Øe delivered on 3 May 2018.
    • European Union
    • Court of Justice (European Union)
    • 3 May 2018
    ...EU:C:2013:670, paragraph 26) and that the scope of that definition is very wide (see, in particular, judgment of 20 December 2017, Nowak, C‑434/16, EU:C:2017:994, paragraph 26 According to the Spanish Government, the addresses of the persons concerned were not explicitly requested. 27 Infor......
  • Single Resolution Board v European Data Protection Supervisor.
    • European Union
    • General Court (European Union)
    • 26 April 2023
    ...del artículo 3, punto 1, del Reglamento 2018/1725. Considera que el razonamiento seguido en la sentencia de 20 de diciembre de 2017, Nowak (C‑434/16, EU:C:2017:994), no se aplica a los comentarios de los reclamantes. Sostiene que la información contenida en los comentarios de los reclamante......
  • RW v Österreichische Post AG.
    • European Union
    • Court of Justice (European Union)
    • 12 January 2023
    ...las sentencias de 17 de julio de 2014, YS y otros, C‑141/12 y C‑372/12, EU:C:2014:2081, apartado 44, y de 20 de diciembre de 2017, Nowak, C‑434/16, EU:C:2017:994, apartado 57), en concreto, que son comunicados a los destinatarios autorizados (véase, por analogía, la sentencia de 7 de mayo d......
  • Opinion of Advocate General Campos Sánchez-Bordona delivered on 15 December 2022.
    • European Union
    • Court of Justice (European Union)
    • 15 December 2022
    ...de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances » (arrêt du 20 décembre 2017, Nowak, C‑434/16, EU:C:2017:994, point 19 Mise en italique par mes soins. 20 Droit de demander la rectification ou l’effacement des données, ou une limitation d......
    • Request a trial to view additional results
2 firm's commentaries
  • ECJ: Examination Answers Are Personal Data
    • European Union
    • Mondaq European Union
    • 6 March 2018
    ...Directive"), encompasses information recorded as answers given by a candidate during a professional examination (ECJ, 20 December 2017, Case C-434/16, Peter Nowak v. Data Protection Mr. Nowak had participated in several accountancy examinations organised by the Institute of Chartered Accoun......
  • Testing Times: Exam Scripts May Be Personal Data
    • European Union
    • Mondaq European Union
    • 6 September 2017
    ...a referral for preliminary ruling to the COJEU from the Irish Supreme Court in the case of Peter Nowak v Data Protection Commissioner (C-434/16). Mr Nowak, a trainee accountant, attempted without success to pass a required examination set by the Institute of Chartered Accountants of Ireland......
3 books & journal articles
  • Data subject rights
    • European Union
    • Blockchain and the general data protection regulation. Can distributed ledgers be squared with European data protection law?
    • 6 August 2019
    ...Ledgers’ Richmond Journal of Law and Technology 1, 76. 484 Ibid. 485 Ibid, 77. 486 Ibid. 487 Ibid. 488 Opinion of AG Kokott in Case C-434/16 Peter Nowak [2017] EU:C:2017:582, para 35. 489 On the right to erasure, see further below. STOA | Panel for the Future of Science and Technology coord......
  • The definition of personal data
    • European Union
    • Blockchain and the general data protection regulation. Can distributed ledgers be squared with European data protection law?
    • 6 August 2019
    ...personal data (WP 136) 01248/07/EN, 10. 100 Ibid, 12. 101 Ibid, 14 and Case C-101/01 Bodil Lindqvist [2003] EU:C:2003:596, para 27. 102 Case C-434/16 Nowak [2017] EU:C:2017:994, para 35. 103 In Bodil Lindqvist , the Court held that the term personal data ‘undoubtedly covers the name of a pe......
  • Judgment of the General Court Eighth Chamber, Extended Composition, 26 April 2023, SRB v EDPS, T-557/20
    • European Union
    • European Case Law Digest No. 2023-04, April 2023
    • 26 April 2023
    ...recipients or categories of recipients of the personal data, if any’. 6 Judgment of 20 December 2017, Commission v Bulgaria (C-488/16, EU:C:2017:994). 7 Judgment of 19 October 2016, Commission v Bulgaria (C-488/14, cannot be ruled out that personal views or opinions may constitute personal ......

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT