Rechnungshof (C-465/00) v Österreichischer Rundfunk and Others and Christa Neukomm (C-138/01) and Joseph Lauermann (C-139/01) v Österreichischer Rundfunk.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2002:662
• Docket Number: C-465/00,,C-138/01,C-139/01
• Celex Number: 62000CC0465
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Date: 14 November 2002

Avis juridique important

|

62000C0465

Conclusions de l'avocat général Tizzano présentées le 14 novembre 2002. - Rechnungshof (C-465/00) contre Österreichischer Rundfunk et autres et Christa Neukomm (C-138/01) et Joseph Lauermann (C-139/01) contre Österreichischer Rundfunk. - Demandes de décision préjudicielle: Verfassungsgerichtshof (C-465/00) et Oberster Gerichtshof (C-138/01 et C-139/01) - Autriche. - Protection des personnes physiques à l'égard du traitement de données à caractère personnel - Directive 95/46/CE - Protection de la vie privée - Divulgation des données sur les revenus de salariés d'entités soumises au contrôle du Rechnungshof. - Affaires jointes C-465/00, C-138/01 et C-139/01.

Recueil de jurisprudence 2003 page I-04989

Conclusions de l'avocat général

1 Par trois ordonnances distinctes du 12 décembre 2000 et des 14 et 28 février 2001, le Verfassungsgerichtshof et l'Oberster Gerichtshof (Autriche) ont posé à la Cour de justice plusieurs questions préjudicielles portant sur l'interprétation des dispositions de la directive 95/46/CE, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (1) (ci-après la «directive 95/46» ou simplement la «directive»), et des principes généraux de l'ordre juridique communautaire en matière de confidentialité. En résumé, les juridictions de renvoi souhaitent savoir si ces dispositions et principes s'opposent à une réglementation nationale qui impose la collecte des données sur les revenus de certains salariés de sociétés et d'entités publiques en vue de les insérer, avec l'indication du nom des personnes concernées, dans le rapport d'un organisme étatique (la Cour des comptes) qui est destiné à être rendu public.

Le cadre juridique

La convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales

2 Pour tracer le cadre juridique pertinent aux fins des présentes affaires, il convient tout d'abord de rappeler l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (ci-après la «CEDH»), expressément mentionné dans certaines questions, aux termes duquel:

«1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui» (2).

La directive 95/46

3 Au niveau communautaire, la réglementation en cause est la directive 95/46 qui a été adoptée sur la base de l'article 100 A du traité CE (devenu, après modification, article 95 CE) en vue de favoriser la libre circulation des données à caractère personnel grâce à l'harmonisation des dispositions législatives, réglementaires et administratives des États membres relatives à la protection des personnes physiques à l'égard du traitement de ces données.

4 La directive repose sur l'idée «que les différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée, à l'égard des traitements de données à caractère personnel peuvent empêcher la transmission de ces données du territoire d'un État membre à celui d'un autre État membre; que ces différences peuvent dès lors constituer un obstacle à l'exercice d'une série d'activités économiques à l'échelle communautaire, fausser la concurrence et empêcher les administrations de s'acquitter des responsabilités qui leur incombent en vertu du droit communautaire» (septième considérant). Le législateur communautaire a donc considéré «que, pour éliminer les obstacles à la circulation des données à caractère personnel, le niveau de protection des droits et libertés des personnes à l'égard du traitement de ces données [devait] être équivalent dans tous les États membres». Pour y parvenir, il a jugé qu'une mesure d'harmonisation au niveau communautaire était nécessaire, puisque l'objectif de la libre circulation des données à caractère personnel, «fondamental pour le marché intérieur, ne [pouvait] pas être atteint par la seule action des États membres, compte tenu en particulier de l'ampleur des divergences qui [existaient] [...] entre les législations nationales applicables en la matière et de la nécessité de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère personnel soit réglementé d'une manière cohérente et conforme à l'objectif du marché intérieur au sens de l'article 7 A du traité» (huitième considérant). En revanche, à la suite de l'adoption d'une mesure d'harmonisation, «du fait de la protection équivalente résultant du rapprochement des législations nationales, les États membres ne [pourraient] plus faire obstacle à la libre circulation entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit à la vie privée» (neuvième considérant).

5 Cela dit, le législateur communautaire a estimé qu'un niveau de protection «équivalent dans tous les États membres» ne pouvait pas être déterminé en faisant abstraction de l'exigence «que les droits fondamentaux des personnes soient sauvegardés» (troisième considérant). Dans cette optique, il a en particulier considéré «que l'objet des législations nationales relatives au traitement des données à caractère personnel est d'assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et dans les principes généraux du droit communautaire». Pour cette raison, il a estimé que «le rapprochement de ces législations ne [devait] pas conduire à affaiblir la protection qu'elles assurent mais [devait], au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté» (dixième considérant).

6 C'est donc à la lumière de ces prémisses et considérations qu'il convient de lire l'article 1er de la directive, qui en définit l'objet comme suit:

«1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l'égard du traitement des données à caractère personnel.

2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1.»

7 En ce qui concerne les principales définitions énoncées à l'article 2 de la directive, il convient en l'espèce de rappeler que:

a) par «données à caractère personnel» on entend «toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale»;

b) par «traitement de données à caractère personnel» on entend «toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction»;

c) par «responsable du traitement» on entend «la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel».

8 L'article 3 définit le champ d'application de la directive, en précisant, au paragraphe 1, que celle-ci «s'applique au traitement des données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier». Toutefois, aux termes du paragraphe 2, la directive ne s'applique pas au traitement de données à caractère personnel:

- «mis en oeuvre pour l'exercice d'activités qui ne relèvent pas du champ d'application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l'Union européenne, et, en tout état de cause, [les] traitements ayant pour objet la sécurité publique, la défense, la sûreté de l'État (y compris le bien-être économique de l'État lorsque ces traitements sont liés à des questions de sûreté de l'État) et les activités de l'État relatives à des domaines du droit pénal»,

- ou «effectué par une personne physique pour l'exercice d'activités exclusivement personnelles ou domestiques.»

9 Aux fins de la présente espèce, il y a lieu en outre de rappeler certaines dispositions du chapitre II de la directive, intitulé «Conditions générales de licéité des traitements de données à caractère personnel» (articles 5 à 21). En particulier, on observera que, en vertu de l'article 6, paragraphe 1, les «États membres prévoient que les données à caractère personnel doivent être:

a) traitées loyalement et licitement;

b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un...