—

pour Rīgas pašvaldības SIA « Rīgas satiksme » par M. L. Bemhens, en qualité d’agent,

—

pour le gouvernement letton, par M. I. Kalniņš ainsi que par Mme A. Bogdanova, en qualité d’agents,

—

pour le gouvernement tchèque, par MM. J. Vláčil et M. Smolek, en qualité d’agents,

—

pour le gouvernement espagnol, par Mme M. J. García-Valdecasas Dorrego, en qualité d’agent,

—

pour le gouvernement autrichien, par M. G. Eberhard, en qualité d’agent,

—

pour le gouvernement portugais, par MM. L. Inez Fernandes et M. Figueiredo ainsi que par Mme C. Vieira Guerra, en qualité d’agents,

—

pour la Commission européenne, par MM. D. Nardi et H. Kranenborg ainsi que par Mme I. Rubene, en qualité d’agents,

1

La demande de décision préjudicielle porte sur l’interprétation de l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2

Cette demande a été présentée dans le cadre d’un litige opposant Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvalde (bureau d’examen des infractions administratives à la circulation du département de la police de maintien de l’ordre du département de la police nationale du district de Riga, Lettonie) (ci-après la « police nationale ») à Rīgas pašvaldības SIA « Rīgas satiksme » (ci-après « Rīgas satiksme »), société de trolleybus de la ville de Riga, relatif à une demande de communication des données d’identification de l’auteur d’un accident.

3

L’article 1er de la directive 95/46, intitulé « Objet de la directive », prévoit :

« 1.   Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.

2.   Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »

4

L’article 2 de cette directive dispose :

« Aux fins de la présente directive, on entend par :

[...]

[...] »

5

L’article 5 de la directive 95/46 dispose :

« Les États membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites. »

6

Sous le chapitre II, section II, de la directive 95/46, intitulée « Principes relatifs à la légitimation des traitements de données », l’article 7 de cette directive dispose :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

7

L’article 8, paragraphe 2, sous e), de la directive 95/46 prévoit que l’interdiction du traitement de certains types de données à caractère personnel, telles que celles qui révèlent l’origine raciale ou les convictions politiques, ne s’applique pas lorsque le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

8

L’article 6 de la Fizisko personu datu aizsardzības likums (loi relative à la protection des données des personnes physiques), du 23 mars 2000 (Latvijas Vēstnesis, 2000, no 123/124), dispose :

« Toute personne physique a droit à la protection des données à caractère personnel la concernant. »

9

L’article 7 de cette loi, qui vise à transposer l’article 7 de la directive 95/46, prévoit que le traitement des données à caractère personnel n’est autorisé que si ladite loi n’en dispose pas autrement et si au moins l’une des conditions suivantes est remplie :

10

L’article 12 de cette loi prévoit que les données à caractère personnel, qui concernent des infractions pénales, des condamnations en matière pénale et en matière administrative, ainsi que des décisions judiciaires ou des dossiers judiciaires, ne peuvent être traitées que par les personnes prévues par la loi et dans les cas prévus par celle-ci.

11

Selon l’article 261 du Latvijas Administratīvo pārkāpumu kodekss (code letton des infractions administratives), une personne ayant subi un préjudice causé par une infraction peut être reconnue comme partie lésée, dans le cadre de la procédure d’infraction administrative, par l’institution ou le fonctionnaire qui est habilité à examiner l’affaire. Cette disposition prévoit les droits de parties lésées, y compris le droit de consulter le dossier et de faire usage de ses droits procéduraux pour obtenir une indemnisation.

12

Un accident de la circulation routière est survenu au mois de décembre 2012 à Riga. Un chauffeur du taxi avait garé son véhicule sur le bord de la route. Alors que le trolleybus de Rīgas satiksme passait à côté de ce taxi, le passager occupant le siège arrière dudit taxi a ouvert la portière qui a heurté et endommagé le trolleybus. Une procédure pour infraction administrative a été entamée et un constat d’infraction administrative établi.

13

Le chauffeur de taxi ayant initialement été tenu pour responsable de l’accident, Rīgas satiksme a demandé une indemnisation à la compagnie d’assurances qui couvrait la responsabilité civile du propriétaire du taxi en cause ou de son utilisateur légal. Cependant, cette compagnie d’assurances a informé Rīgas satiksme qu’elle ne lui verserait aucune indemnisation au motif que l’accident était survenu en raison du comportement du passager de ce taxi, et non du chauffeur. Elle a précisé que Rīgas satiksme pouvait faire valoir ses prétentions contre ce passager dans le cadre d’une procédure de droit civil.

14

Rīgas satiksme s’est alors adressée à la police nationale pour demander la communication des informations relatives à la personne qui avait reçu une sanction administrative à la suite de l’accident, l’envoi de la copie des déclarations du chauffeur de taxi et du passager sur les circonstances de l’accident, ainsi que la communication des nom et prénom du passager du taxi, son numéro d’identification et son adresse. Rīgas satiksme a précisé à la police nationale que les informations demandées ne seraient utilisées que pour introduire un recours en droit civil.

15

La police nationale a répondu en accueillant partiellement la demande de Rīgas satiksme, à savoir en communiquant les nom et prénom du passager, mais elle a refusé de communiquer le numéro d’identification et l’adresse de ce passager. Elle n’a pas non plus envoyé la copie des déclarations des personnes impliquées dans l’accident.

16

La décision de la police nationale est fondée sur le fait que seules les parties à une affaire d’infraction administrative peuvent obtenir les informations qui y sont relatives. Or, Rīgas satiksme n’est pas partie à l’affaire en cause. En effet, en vertu du code letton des infractions administratives, une personne est reconnue, à sa demande, comme victime dans une affaire d’infraction administrative par l’institution ou le fonctionnaire qui est habilité à examiner l’affaire. En l’espèce, Rīgas satiksme n’a pas fait usage de ce droit.

17

Rīgas satiksme a introduit un recours devant l’administratīvā rajona tiesa (tribunal administratif de district, Lettonie) contre la décision de la police nationale, dans la mesure où celle-ci refusait de divulguer le numéro d’identification et l’adresse du passager impliqué dans l’accident. Par décision du 16 mai 2014, ce tribunal a accueilli le recours de Rīgas satiksme et a ordonné à la police nationale de communiquer les informations relatives au numéro d’identification et à l’adresse du lieu de résidence de ce passager.

18

La police nationale a formé un pourvoi en cassation devant la juridiction de renvoi. Celle-ci a demandé l’avis du Datu valsts inspekcija (autorité nationale de la protection des données, Lettonie) qui a indiqué, dans sa réponse du 13 octobre 2015, que l’article 7, point 6, de la loi relative à la protection des données des personnes physiques ne peut pas servir de base juridique à la communication des données à caractère personnel dans le litige au principal, car le code letton des infractions administratives énumère les personnes auxquelles la police nationale peut communiquer les informations relatives à une affaire. En conséquence, selon l’autorité nationale de la protection des données, la communication de données à caractère personnel issues d’une affaire d’infraction administrative ne peut avoir lieu que conformément aux points 3 et 5 de cet article dans les cas prévus par cette loi. L’article 7 de ladite loi n’imposerait pas d’obligation, mais donnerait le droit au responsable du traitement, en l’espèce la police nationale, d’effectuer le traitement des données.

19

L’autorité nationale de la protection des données a indiqué que Rīgas satiksme disposait de deux voies pour obtenir ces informations. Celle-ci pouvait soit adresser une demande motivée au registre de la population, soit introduire une action en justice en se fondant sur les articles 98 à 100 de la loi sur la procédure civile aux fins de l’obtention des éléments de preuve en demandant au juge d’exiger de la police nationale les données à caractère personnel nécessaires pour qu’elle puisse agir en justice contre la personne concernée.

20

La juridiction de renvoi nourrit des doutes sur l’efficacité des voies indiquées par l’autorité nationale de la protection des données pour obtenir des données à caractère personnel. Elle précise, à cet égard, d’une part, que, si une demande adressée au registre de la population ne mentionne que le nom du passager du taxi, il est possible que ce passager ne puisse pas être individualisé sans son numéro d’identification, car les mêmes nom et prénom pourraient appartenir à plusieurs personnes. D’autre part, la juridiction de renvoi considère que, eu égard aux dispositions nationales relatives à la fourniture de preuves, afin d’introduire un recours de droit civil, le demandeur devrait au moins connaître l’adresse du lieu de résidence du défendeur.

21

À cet égard, la juridiction de renvoi estime qu’il existe des doutes sur l’interprétation de la notion de « nécessité » visée à l’article 7, sous f), de cette directive.

22

Dans ces conditions, l’Augstākās tiesas Administratīvo lietu departaments (Cour suprême, département des affaires administratives, Lettonie) a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

23

Par ses questions, qu’il convient d’examiner ensemble, la juridiction de renvoi demande si l’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il impose l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données et si le fait que cette personne soit mineure peut avoir une incidence sur l’interprétation de cette disposition.

24

Dans l’affaire au principal, il est constant que le numéro d’identification et l’adresse du passager du taxi, dont Rīgas satiksme demande la communication, constituent des informations concernant une personne physique identifiée ou identifiable et, partant, des « données à caractère personnel » au sens de l’article 2, sous a), de la directive 95/46. Il est également constant que la police nationale, à laquelle cette demande a été adressée, est le responsable du traitement de ces données et, notamment, de leur communication éventuelle, au sens de l’article 2, sous d), de cette directive.

25

Conformément à l’article 5 de la directive 95/46, il appartient aux États membres de préciser, dans les limites des dispositions de cette directive, les conditions dans lesquelles les traitements de données à caractère personnel sont licites. L’article 7 de ladite directive, qui énonce les principes relatifs à la légitimation d’un tel traitement, dispose à cet égard que « [l]es États membres prévoient que [celui-ci] ne peut être effectué que » en présence de l’une des hypothèses énumérées de manière exhaustive par cette disposition. En vertu de cet article 7, sous f), un tel traitement peut être effectué lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et les libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er, paragraphe 1, de la directive 95/46.

26

Il ressort ainsi de l’économie de la directive 95/46 et du libellé de l’article 7 de celle-ci que l’article 7, sous f), de la directive 95/46 ne prescrit pas, en soi, une obligation, mais exprime une faculté d’effectuer le traitement de données tel que la communication à un tiers de données nécessaires à la réalisation d’un intérêt légitime poursuivi par celui-ci. Ainsi que l’a souligné M. l’avocat général aux points 43 à 46 de ses conclusions, une telle interprétation peut également être déduite d’autres instruments du droit de l’Union ayant trait aux données à caractère personnel (voir, en ce sens, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, arrêt du 29 janvier 2008, Promusicae, C‑275/06, EU:C:2008:54, points 54 et 55).

27

Il convient, toutefois, d’observer que l’article 7, sous f), de la directive 95/46 ne s’opposerait pas à une telle communication, dans l’hypothèse où celle-ci serait effectuée sur la base du droit national, en respectant les conditions prévues par cette disposition.

28

À cet égard, l’article 7, sous f), de la directive 95/46 prévoit trois conditions cumulatives pour qu’un traitement de données à caractère personnel soit licite, à savoir, premièrement, la poursuite d’un intérêt légitime par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, deuxièmement, la nécessité du traitement des données à caractère personnel pour la réalisation de l’intérêt légitime poursuivi et, troisièmement, la condition que les droits et les libertés fondamentaux de la personne concernée par la protection des données ne prévalent pas.

29

En ce qui concerne la condition relative à la poursuite d’un intérêt légitime, ainsi que M. l’avocat général l’a relevé aux points 65, 79 et 80 de ses conclusions, il ne fait aucun doute que l’intérêt d’un tiers à obtenir une information d’ordre personnel concernant une personne qui a porté atteinte à sa propriété afin de l’assigner en justice pour obtenir réparation constitue un intérêt légitime (voir, en ce sens, arrêt du 29 janvier 2008, Promusicae, C‑275/06, EU:C:2008:54, point 53). Cette analyse est confortée par l’article 8, paragraphe 2, sous e), de la directive 95/46 qui prévoit que l’interdiction du traitement de certains types de données à caractère personnel, telles que celles qui révèlent l’origine raciale ou les convictions politiques, ne s’applique pas notamment lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

30

S’agissant de la condition relative à la nécessité du traitement des données, il y a lieu de rappeler que les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire (arrêts du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 86 ; du 7 novembre 2013, IPI, C‑473/12, EU:C:2013:715, point 39, ainsi que du 11 décembre 2014, Ryneš, C‑212/13, EU:C:2014:2428, point 28). À cet égard, il y a lieu de constater que, selon les indications fournies par la juridiction de renvoi, la communication des seuls nom et prénom de la personne auteur du dommage ne permet pas d’identifier celle-ci avec suffisamment de précision pour pouvoir l’assigner en justice. Ainsi, il paraît nécessaire d’obtenir à cette fin également l’adresse et/ou le numéro d’identification de cette personne.

31

Enfin, concernant la condition d’une pondération des droits et des intérêts opposés en cause, elle dépend, en principe, des circonstances concrètes du cas particulier (voir, en ce sens, arrêts du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 et C‑469/10, EU:C:2011:777, point 40, et du 19 octobre 2016, Breyer, C‑582/14, EU:C:2016:779, point 62).

32

À cet égard, la Cour a jugé qu’il est possible de prendre en considération le fait que la gravité de l’atteinte aux droits fondamentaux de la personne concernée par ledit traitement peut varier en fonction de la possibilité d’accéder aux données en cause dans des sources accessibles au public (voir, en ce sens, arrêt du 24 novembre 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 et C‑469/10, EU:C:2011:777, point 44).

33

S’agissant de la seconde partie de la question préjudicielle telle que reformulée au point 23 du présent arrêt, il convient de relever que l’âge de la personne concernée peut constituer l’un des éléments dont il convient de tenir compte dans le cadre de cette pondération. Il importe, toutefois, de constater que, ainsi que l’a relevé M. l’avocat général aux points 82 à 84 de ses conclusions et sous réserve des vérifications à effectuer à cet égard par le juge national, il n’apparaît pas justifié, dans des conditions telles que celles en cause au principal, de refuser à une partie lésée la communication des données à caractère personnel nécessaire pour l’introduction d’un recours en indemnisation contre l’auteur du dommage, ou, le cas échéant, les personnes exerçant l’autorité parentale, au motif que cet auteur serait mineur.

34

Il résulte de l’ensemble des considérations qui précèdent que l’article 7, sous f), de la directive 95/46 doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.

35

La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

Par ces motifs, la Cour (deuxième chambre) dit pour droit :

L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens qu’il n’impose pas l’obligation de communiquer des données à caractère personnel à un tiers afin de lui permettre d’introduire un recours en indemnisation devant une juridiction civile pour un dommage causé par la personne concernée par la protection de ces données. Toutefois, l’article 7, sous f), de cette directive ne s’oppose pas à une telle communication sur la base du droit national.