L'opération consistant à faire référence sur une page Internet à diverses personnes et à les identifier soit par leur nom, soit par d'autres moyens, constitue un traitement de données à caractère personnel automatisé au sens du droit communautaire, a estimé la CJCE dans un arrêt rendu le 6 novembre 2003 dans l'affaire Bodil Lindqvist (arrêt n°C-101/01).
Si la Directive communautaire (n°95/46) du 24 octobre 1995, n'inclue pas dans la notion de "transfert vers un pays tiers de données" l'inscription de données sur une page Internet, même si celles-ci sont rendues accessibles aux personnes de pays tiers, un Etat membre peut toutefois étendre la portée de la législation nationale transposant les dispositions de la directive à des domaines non-inclus dans le champ d'application de cette dernière, comme Internet, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.
C'est la première fois que la Cour de Justice communautaire définit le champ d'application de la Directive sur la protection des données à caractère personnel et leur libre circulation dans le cadre de l'Internet.
Faits :
En 1998, Mme Lindqvist, qui exerçait la fonction de formatrice de communiants au sein d'une paroisse en Suède, crée un site internet personnel afin de permettre aux paroissiens préparant leur confirmation d'obtenir facilement les informations susceptibles de leur être utiles. Les pages web du site contenaient des informations sur Mme Lindqvist elle-même et 18 de ses collègues de la paroisse (nom, prénoms, fonctions occupées par ses collègues et leurs loisirs en termes légèrement humoristiques précise t-on). Dans plusieurs cas, leur situation familiale, leur numéro de téléphone et d'autres informations ont même été mentionnées, comme par exemple le fait qu'une de ses collègues s'était blessée au pied et qu'elle était en congé de maladie partiel.
Procédure :
L'Organisme public suédois pour la protection des données transmises par voie informatique, la Datainspektion (sorte de CNIL) a obtenu la condamnation de Mme Lindqvist a une amende d'environ 450 euros, pour avoir utilisé des données personnelles dans le cadre d'un traitement automatisé sans faire de déclaration écrite préalable auprès de l'Organisme en question, et de les avoir transféré, sans autorisation, vers des pays tiers. De plus, le tribunal lui reprochait d'avoir fait mention de données personnelles sensibles, comme l'état de santé d'une personne.
Elle a interjeté appel contre cette décision. Le juge suédois a demandé à la CJCE si les infractions alléguées de Mme Lindqvist étaient contraires aux dispositions de la directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui vise à rendre équivalent dans tous les Etats membres le niveau de protection des droits et libertés des personnes dans ce domaine.
Décision de la Cour :
Selon la Cour, l'opération consistant à faire référence, sur une page Internet, à diverses personnes, à les identifier soit par leur nom soit par d'autres moyens (numéro de téléphone ou informations relatives à leurs conditions de travail et à leurs passe-temps) constitue un traitement de données à caractère personnel, automatisé en tout ou en partie.
Lorsque le site web comporte en outre des mentions quant à l'état de santé d'une personne, il s'agit d'un traitement de données relatives à la santé au sens de la directive de 1995. Ce traitement de données personnelles ne rentre ni dans la catégorie d'activités ayant pour objet la sécurité publique ni dans la catégorie d'activités exclusivement personnelles ou domestiques qui sont hors du champ d'application de la directive.
S'agissant du champ d'application de la directive communautaire, la Cour estime que celle-ci n'inclue pas dans la notion de "transfert vers un pays tiers de données" l'inscription de données sur une page Internet, même si celles-ci sont rendues accessibles aux personnes de pays tiers.
Toutefois, la Cour précise que les mesures prises par les Etats membres pour assurer la protection des données à caractère personnel doivent être conformes tant aux dispositions de la directive qu'à son objectif consistant à maintenir un équilibre entre la libre circulation des données à caractère personnel et la protection de la vie privée, mais que rien ne s'oppose à ce qu'un Etat membre étende la portée de la législation nationale transposant les dispositions de la directive à des domaines non-inclus dans le champ d'application de cette dernière, comme Internet, pour autant qu'aucune autre disposition du droit communautaire n'y fasse obstacle.
Enfin, rappelant que les dispositions de la directive ne comportent pas, en elles-mêmes, une restriction contraire à la liberté d'expression ou à d'autres droits fondamentaux, la Cour considère qu'il appartient aux autorités et aux juridictions nationales chargées d'appliquer la réglementation nationale transposant la directive, d'assurer un juste équilibre des droits et intérêts en cause, et notamment les droits fondamentaux (libre expression, protection de la vie privée, information sensibles portant sur l'état de santé).
Article de veille publié le jeudi 6 novembre 2003.
Les Etats membres doivent faire appliquer la directive vie privée
Première Visite ?
Inscription Gratuite !
Offre d'Abonnement
Achat Confiance
RSS
Aide & Contact