1.

Un chauffeur de taxi a arrêté son véhicule sur le bord de la route. Au moment où le trolleybus de Rīgas pašvaldības SIA « Rīgas satiksme » (ci-après « Rīgas satiksme ») est passé à côté du taxi, un de ses passagers a ouvert la porte qui a heurté et endommagé le trolleybus. Rīgas satiksme s’est adressée à la police afin qu’on lui communique les nom et prénom du passager du taxi. Elle souhaitait assigner le passager en réparation du préjudice occasionné au trolleybus devant les juridictions civiles. La police a communiqué à Rīgas satiksme seulement le nom du passager. Elle a refusé de communiquer le numéro d’identification et l’adresse dudit passager.

2.

Dans ce contexte factuel, la juridiction de renvoi demande si l’article 7, sous f), de la directive 95/46/CE ( 2 ) prévoit une obligation de communiquer toutes les données à caractère personnel nécessaires afin d’assigner une personne ayant prétendument commis une infraction administrative devant le juge civil. La juridiction de renvoi demande, en outre, si le fait que la personne était mineure pourrait avoir une incidence sur la réponse à la question précédente.

3.

L’article 7 de la charte des droits fondamentaux de l’Union européenne (ci‑après la « Charte ») dispose que « [t]oute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications ».

4.

Aux termes de l’article 8 :

5.

L’article 16, paragraphe 1, TFUE consacre le droit de toute personne « à la protection des données à caractère personnel la concernant ».

6.

L’article 2 contient des définitions aux fins de l’application de la présente directive :

[…]

[…]

[…]. »

7.

Au chapitre 2, intitulé « Conditions générales de licéité des traitements de données à caractère personnel », l’article 5 dispose que « [l]es États membres précisent, dans les limites des dispositions du présent chapitre, les conditions dans lesquelles les traitements de données à caractère personnel sont licites ».

8.

L’article 6, paragraphe 1, dispose que « [l]es États membres prévoient que les données à caractère personnel doivent être :

[…]

[…]. »

9.

En vertu de l’article 7 de ladite directive, « [l]es États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

10.

L’article 8 interdit par principe le traitement de catégories particulières de données telles que les données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques. Cet article prévoit néanmoins un certain nombre d’exceptions.

11.

Notamment, aux termes de l’article 8, paragraphe 2, sous e), l’interdiction ne s’applique pas dès lors que « le traitement […] est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ».

12.

L’article 8, paragraphe 5, dispose ce qui suit :

« […]

Les États membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l’autorité publique. »

13.

L’article 8, paragraphe 7, prévoit que « [l]es États membres déterminent les conditions dans lesquelles un numéro national d’identification ou tout autre identifiant de portée générale peut faire l’objet d’un traitement ».

14.

Conformément à l’article 14, « [l]es États membres reconnaissent à la personne concernée le droit :

[…]. »

15.

Le règlement (UE) no 2016/679 ( 3 ) a abrogé la directive 95/46. Il est entré en vigueur le 24 mai 2016, mais n’est applicable qu’à partir du 25 mai 2018.

16.

Le libellé de l’article 7 de la Fizisko personu datu aizsardzības likums (loi sur la protection des données des personnes physiques) est analogue à celui de l’article 7 de la directive 95/46. Il dispose que le traitement des données à caractère personnel est autorisé, sauf si la loi en dispose autrement, seulement si au moins une des conditions suivantes est remplie :

17.

Un accident de la circulation routière a eu lieu au mois de décembre 2012 à Riga (Lettonie). Un chauffeur de taxi avait arrêté son véhicule sur le bord de la route. Au moment où le trolleybus de Rīgas satiksme est passé à côté du taxi, le passager a ouvert la porte qui a heurté et endommagé le trolleybus. Une procédure pour infraction administrative a été introduite et un constat d’infraction administrative a été établi concernant cet accident.

18.

Initialement, le chauffeur de taxi ayant été tenu pour responsable de l’accident, Rīgas satiksme a demandé une indemnité à la compagnie d’assurances qui couvrait la responsabilité civile du propriétaire du taxi. Cependant, l’assureur a affirmé que cette indemnité d’assurance ne serait pas payée au motif que l’accident était dû au passager du taxi, non au chauffeur, et que Rīgas satiksme pouvait faire valoir ses prétentions contre le passager dans le cadre d’une procédure de droit civil.

19.

Rīgas satiksme s’est adressée au Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas pārvaldes Satiksmes administratīvo pārkāpumu izskatīšanas birojs (bureau d’examen des infractions administratives à la circulation du département de la police de maintien de l’ordre du département de la police nationale du district de Riga, ci–après la « police »). Rīgas satiksme a demandé des informations relatives à la personne qui avait reçu une sanction administrative à la suite de l’accident. Plus précisément, Rīgas satiksme a demandé la communication du nom du passager du taxi, son numéro d’identification et son adresse, ainsi que l’envoi de la copie des documents où apparaissent les explications du chauffeur de taxi et du passager sur les circonstances de l’accident. Rīgas satiksme a affirmé à la police que les informations demandées ne seraient utilisées que pour introduire un recours en droit civil.

20.

La police n’a répondu que partiellement à la demande de Rīgas satiksme. Elle a communiqué seulement le nom du passager du taxi. Elle a refusé de communiquer le numéro d’identification et l’adresse du passager. Elle n’a pas non plus fourni à Rīgas satiksme les documents relatifs aux explications des personnes impliquées dans l’accident.

21.

Dans sa décision, la police a déclaré que les documents relatifs à une procédure administrative aboutissant à des sanctions peuvent être communiqués uniquement aux parties à cette affaire. Rīgas satiksme n’était pas partie à la procédure. De plus, pour ce qui concerne le numéro d’identification et l’adresse, la Datu valsts inspekcija (autorité nationale de la protection des données) interdit la divulgation de telles informations concernant les personnes privées.

22.

En vertu de l’article 261 du Latvijas Administratīvo pārkāpumu kodekss (code des infractions administratives), dans le cadre d’une procédure administrative aboutissant à des sanctions, une personne peut être reconnue comme victime si elle en formule expressément la demande. Rīgas satiksme n’a pas fait usage du droit de demander à obtenir ce statut de victime dans l’affaire d’infraction administrative en cause.

23.

Rīgas satiksme a introduit un recours contre la décision de la police devant l’Administratīvā rajona tiesa (tribunal administratif de district, Lettonie), dans la mesure où celle-ci refusait de divulguer le numéro d’identification et l’adresse du passager du taxi.

24.

Par décision du 16 mai 2014, l’Administratīvā rajona tiesa (tribunal administratif de district) a accueilli le recours de Rīgas satiksme. Elle a ordonné à la police de communiquer les informations demandées, à savoir le numéro d’identification et l’adresse du passager du taxi.

25.

La police a formé un pourvoi en cassation devant l’Augstākā tiesa (Cour suprême, Lettonie), la juridiction de renvoi dans la présente affaire. La juridiction de renvoi a demandé, tout d’abord, l’avis de l’autorité nationale de la protection des données. Celle-ci a indiqué que, dans ce cas précis, les données ne pouvaient pas être communiquées sur le fondement de l’article 7, paragraphe 6, de la loi sur la protection des données des personnes physiques étant donné que le code des infractions administratives dresse une liste exhaustive des personnes physiques ou morales auxquelles la police peut communiquer des informations relatives à une affaire. Ainsi, les données à caractère personnel relatives à une procédure administrative aboutissant à des sanctions ne peuvent être communiquées que conformément aux paragraphes 3 et 5 de ce même article. En outre, l’article 7 de la loi sur la protection des données des personnes physiques n’oblige pas le responsable du traitement (en l’espèce, la police) à procéder au traitement des données : il le permet simplement.

26.

L’autorité nationale de la protection des données a également indiqué que Rīgas satiksme disposait d’autres moyens pour obtenir ces informations : soit adresser une demande motivée au Iedzīvotāju reģistrs (registre de la population), soit introduire une action en justice en se fondant sur les articles 98, 99 et 100 de la Civilprocesa likums (loi sur la procédure civile) en vue de l’obtention des éléments de preuve. Le juge saisi peut par la suite ordonner à la police de communiquer les données à caractère personnel nécessaires afin que Rīgas satiksme puisse entamer une action devant les juridictions civiles contre la personne concernée.

27.

Le juge de renvoi a des doutes sur les voies alternatives pour l’obtention des données à caractère personnel mentionnées par l’autorité nationale de la protection des données. Si l’on recherche dans les registres de la population le nom du passager du taxi seulement, il pourrait apparaître que plusieurs personnes portent ce même nom. Par conséquent, seules des informations complémentaires, telles que celles demandées dans la présente affaire (le numéro d’identification et l’adresse), permettraient d’identifier la personne en cause. De plus, l’autorité nationale de la protection des données cite des dispositions de la loi sur la procédure civile pour ce qui concerne les règles de production des éléments de preuve. Conformément à l’article 128 de la loi sur la procédure civile, lorsque l’on présente une requête, il convient d’indiquer le nom du défendeur, son numéro d’identification (s’il est connu), son lieu de résidence déclaré et l’adresse supplémentaire précisée dans la déclaration ou, à défaut, l’adresse de son lieu de résidence légal. Ainsi, le demandeur devrait au moins connaître l’adresse du lieu de résidence du défendeur.

28.

Selon la juridiction de renvoi, les voies alternatives pour l’obtention des données à caractère personnel nécessaires manquent de clarté et d’efficacité. Ainsi, afin de poursuivre son intérêt légitime, il se pourrait que Rīgas satiksme doive obtenir de la police la communication des données à caractère personnel demandées.

29.

La juridiction de renvoi exprime également des doutes quant à l’interprétation du terme « nécessaire » figurant à l’article 7, sous f), de la directive 95/46 et estime que l’interprétation de ce terme est décisive pour la solution du présent litige.

30.

L’Augstākās tiesas, l’Administratīvo lietu departaments (Cour suprême, département des affaires administratives, Lettonie) a donc décidé de surseoir à statuer et a renvoyé la question préjudicielle suivante à la Cour de justice :

« L’expression “il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le ou les tiers auxquels les données sont communiquées” visée à l’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données doit-elle être interprétée en ce sens que la police nationale est tenue de communiquer à Rīgas satiksme les données à caractère personnel qu’elle a demandées et qui sont nécessaires à l’introduction d’une requête dans une procédure de droit civil ? La circonstance qui ressort des faits de l’affaire selon laquelle le passager dont Rīgas satiksme tente d’obtenir les données était mineur au moment de l’accident pourrait-elle avoir une incidence sur la réponse à la question préjudicielle ? »

31.

Rīgas satiksme, la Commission européenne et les gouvernements tchèque, espagnol, letton, autrichien et portugais ont présenté des observations écrites. La Commission et le gouvernement letton sont intervenus lors de l’audience du 24 novembre 2016 pour présenter oralement leurs arguments.

32.

La juridiction de renvoi demande, en substance, si la directive 95/46 prévoit que le responsable du traitement est soumis à une obligation de communiquer les données permettant l’identification d’une personne prétendument coupable d’une infraction administrative afin que Rīgas Satiksme puisse saisir le juge civil.

33.

J’estime que cette question posée par la juridiction de renvoi appelle une réponse négative. La directive 95/46 ne prévoit pas une telle obligation. Elle prévoit simplement une faculté (au sens de permission ou d’autorisation) de communiquer des données si certaines conditions sont remplies. La faculté prévue par la loi d’effectuer une certaine action constitue une catégorie distincte de l’obligation d’effectuer cette action.

34.

Néanmoins, si l’on se fonde sur les faits de la présente affaire, la question ne s’arrête pas là. Néanmoins pas en partie, car, pour ce qui concerne les informations effectivement communiquées, la Cour est également appelée à identifier les conditions d’application de l’article 7, sous f), de la directive 95/46 de même que la nature et la portée des données à caractère personnel que la personne qui en demande la communication peut obtenir en application de cette disposition.

35.

Ces conclusions sont donc structurées de la manière suivante : dans un premier temps, j’expliquerai pourquoi je considère que la directive 95/46 n’impose pas d’obligation de communication à l’entité possédant l’information (sous A). Dans un second temps, afin que la juridiction de renvoi dispose d’une réponse complète et utile dans la présente affaire, j’exposerai les conditions d’application de l’article 7, sous f), de la directive 95/46, ainsi que l’étendue des données à caractère personnel qui peuvent être communiquées si les conditions sont remplies (sous B).

36.

La juridiction de renvoi demande si, en vertu de l’article 7, sous f), de la directive 95/46, les données à caractère personnel doivent être communiquées aux fins d’introduire un recours en matière civile. En d’autres termes, la juridiction de renvoi demande si la directive prévoit une obligation de communiquer ces données.

37.

À mon avis, l’on ne peut déduire de la directive 95/46 une telle obligation et cela ressort, sans équivoque, autant du texte et de l’économie de la directive que de son objet même.

38.

Si l’on examine d’abord l’économie et la logique de la directive 95/46, selon les règles de droit commun de cette directive, afin de garantir un niveau de protection élevé du droit au respect de la vie privée ( 4 ), les données à caractère personnel ne devraient pas, en principe, faire l’objet d’un traitement. Le traitement des données à caractère personnel devrait, par nature, demeurer exceptionnel.

39.

L’article 7 reflète cette approche. Cet article dresse une liste des exceptions au droit commun selon lesquelles l’on peut procéder au traitement de données en fonction de certaines conditions qui sont formulées de manière stricte. Ainsi, les catégories visées à l’article 7 représentent des exceptions au principe général.

40.

Dans ce contexte, le libellé de l’article 7 confirme clairement que pour les hypothèses énumérées dans cet article, il existe une simple faculté ou une possibilité de procéder au traitement des données à caractère personnel, et non une obligation, lorsque le contexte factuel relève d’une des exceptions prévues par la directive 95/46. D’après cette disposition, « [l]es États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si […]» ( 5 ). Ces termes, qui sont également employés dans d’autres versions linguistiques ( 6 ), montrent clairement que les exceptions prévues à l’article 7 sont bien des exceptions. Elles ne peuvent pas être interprétées comme une obligation de procéder au traitement des données à caractère personnel.

41.

L’effet direct de certaines exceptions prévues à l’article 7 ( 7 ) n’altère pas les conclusions qui précèdent. Elles ne créent pas, en soi, un droit à obtenir des informations pour tous ceux qui les demanderaient ni une obligation accessoire de communiquer des informations pesant sur les personnes qui en possèderaient. L’article 7 prévoit plutôt des règles d’ordre général afin que le responsable du traitement des données puisse déterminer à quel moment, si et selon quelles modalités, il peut traiter les données à caractère personnel qu’il a acquises.

42.

Enfin, la finalité de la directive 95/46 est de prévoir des limites communes au sein de l’Union européenne pour le traitement des données à caractère personnel. Les fondements et les motifs spécifiques concrets du traitement se trouveront donc typiquement dans le droit national ou dans d’autres instruments juridiques de droit de l’Union. En d’autres termes, la directive 95/46 fixe des limites au traitement des données, elle ne vise pas à l’encourager.

43.

Ainsi, les termes, l’économie, la logique et la finalité de la directive 95/46 indiquent tout à fait clairement que son article 7, sous f), ne peut pas être interprété comme prescrivant, en soi, une obligation de communiquer des données à caractère personnel.

44.

Accessoirement, dans une perspective systémique plus large, il convient également d’ajouter que l’on retrouve une articulation semblable dans d’autres domaines du droit de l’Union dans lesquels les instruments de droit dérivé ont trait directement ou indirectement aux données à caractère personnel.

45.

Notamment, la directive 2002/58/CE ( 8 ), qui complète la directive 95/46 pour ce qui concerne le domaine des communications électroniques, ne contient pas non plus d’obligation de communication. Dans l’arrêt Promusicae, la Cour a précisé que l’absence d’une obligation de communication dans les dispositions de la directive 95/46 n’exclut ni n’oblige les États membres à prévoir l’obligation de divulguer des données à caractère personnel dans le cadre d’une procédure civile ( 9 ). Cela n’est pas une conséquence nécessaire du droit de l’Union, il appartient donc aux États membres de décider.

46.

De même, la Cour a estimé que d’autres directives ( 10 ) qui concernent les données à caractère personnel, mais qui visent principalement à assurer une protection effective des droits de propriété intellectuelle dans la société de l’information ( 11 ), n’imposent pas non plus aux États membres de prévoir une obligation de communiquer des données à caractère personnel en vue d’assurer la protection effective du droit d’auteur dans le cadre d’une procédure civile ( 12 ).

47.

Ainsi que la juridiction de renvoi l’affirme, la partie défenderesse au principal a effectivement reçu quelques données à caractère personnel : le nom et le prénom de la personne concernée. Les autres informations qu’elle demandait lui ont été refusées et cela vraisemblablement sur le fondement du droit interne.

48.

Par conséquent, et pour ce qui concerne les données à caractère personnel effectivement communiquées, la question de la conformité de la communication de ces données à l’article 7 de la directive 95/46 est pertinente.

49.

Néanmoins, il faut clairement souligner que ce qui suit dans les présentes conclusions porte sur la faculté de communiquer des données à caractère personnel dans un contexte factuel semblable à celui de la procédure au principal à condition qu’il existe un fondement en droit national pour la communication des données demandées. En d’autres termes, quelles sont les limites imposées par le droit de l’Union à la communication de données dans une telle situation ? Si le droit national prescrivait la communication de données à caractère personnel dans ces circonstances, une telle communication serait-elle conforme à l’article 7, sous f), de la directive 95/46 ?

50.

À mon avis, dans un contexte semblable à celui de la procédure au principal, la communication de données à caractère personnel est pleinement conforme à l’article 7, sous f), de la directive 95/46 dans la mesure où ces informations permettraient à la partie lésée d’introduire un recours de droit civil.

51.

Dans les points suivants, d’abord je procéderai à l’identification du fondement juridique pertinent dans un contexte factuel semblable à celui de la présente affaire, aux fins du traitement des données à caractère personnel conformément à la directive 95/46. Ensuite j’exposerai les conditions d’application de l’article 7, sous f), de la directive 95/46. Enfin, j’analyserai la présente affaire à la lumière de ces conditions.

52.

La question de savoir quel point de l’article 7 de la directive 95/46 s’applique dans un contexte factuel semblable à celui de la présente affaire constitue une question préalable qui a été soulevée tant dans les observations écrites que lors des plaidoiries.

53.

Les parties au principal et la majorité des intervenants se sont fondés sur l’article 7, sous f), de la directive 95/46 invoqué par la juridiction de renvoi. Néanmoins, le gouvernement autrichien soutient, dans ses observations écrites, que l’article 7, sous f), de la directive 95/46 n’est pas le fondement juridique correct, même pour entamer un recours de droit civil, dans la mesure où il serait trop abstrait et pas suffisamment précis. Il ne permettrait pas dès lors de justifier une telle interférence avec le droit à la protection des données.

54.

Dans ses observations écrites, la Commission s’est concentrée sur l’article 7, sous f), de la directive 95/46. Lors de sa plaidoirie, elle a néanmoins suggéré que le traitement des données comme celui demandé dans le cadre de la procédure au principal pourrait également relever du champ d’application de l’article 7, sous c) ou e), de la directive 95/46.

55.

L’article 7 de la directive 95/46 identifie plusieurs fondements juridiques permettant le traitement licite des données dans six cas de figure différents. Afin que ces données soient traitées, il faut qu’elles relèvent d’une des six catégories identifiées à l’article 7 de la directive 95/46. Il apparaît néanmoins clairement que la portée et la raison d’être de ces dispositions sont distinctes.

56.

En des termes plus larges et abstraits, l’article 7 de la directive 95/46 contient trois catégories d’exceptions qui prévoient dans quelles circonstances il est possible de procéder à un traitement licite des données : d’abord lorsque la personne concernée a indubitablement donné son consentement [article 7, sous a)], ensuite lorsqu’il existe, dans une certaine mesure, un intérêt légitime présumé du responsable du traitement ou des tiers [article 7, sous b) à e)], enfin lorsque l’intérêt légitime en cause est non seulement établi mais lorsqu’il prévaut également sur les intérêts ou les droits et les libertés de la personne concernée par le traitement des données [article 7, sous f)].

57.

Ainsi, la portée de l’article 7, sous f), de la directive 95/46 est de toute évidence plus large que celle de l’article 7, sous c) ou e). Ce point n’est pas lié à des exigences légales ni à des circonstances factuelles, mais il est formulé en des termes très généraux. Il reste néanmoins d’application plus stricte dans la mesure où il est subordonné à l’existence réelle d’un intérêt légitime du responsable du traitement ou d’un tiers qui prime sur l’intérêt de la personne concernée par le traitement des données, condition qui n’est pas requise à l’article 7, sous c) et e).

58.

Néanmoins, si l’on fait abstraction des débats doctrinaux, deux aspects doivent être relevés. D’abord, les exceptions prévues à l’article 7 de la directive 95/46 ne s’excluent pas réciproquement. Ainsi, deux ou, potentiellement, trois exceptions pourraient être appliquées à une situation ( 13 ). Ensuite, bien que leur formulation varie quelque peu, la différence en pratique, au moment de l’application, sera vraisemblablement plutôt minime, dès lors qu’il existe un intérêt légitime clairement motivé et vraisemblable.

59.

Cela étant dit, je pense que la Cour devrait se prononcer sur le fondement de l’article 7, sous f), de la directive 95/46 tout en s’en remettant au juge national qui a une connaissance exhaustive des faits de l’affaire et du droit interne tels qu’ils sont présentés dans la question et qui invoque l’application de l’exception prévue à l’article 7, sous f), de la directive 95/46.

60.

L’article 7, sous f), de la directive 95/46 prévoit deux conditions cumulatives qui doivent être remplies afin que le traitement des données à caractère personnel soit licite : d’abord, il doit être nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou un tiers ou les parties auxquels les données sont communiquées. Ensuite, les droits et les libertés fondamentaux de la personne concernée ne doivent pas prévaloir sur cet intérêt ( 14 ).

61.

La seconde condition vise à assurer la pondération des intérêts en présence. À des fins didactiques, la première condition peut être en réalité subdivisée en deux sous-conditions : d’une part, l’intérêt légitime en soi et, d’autre part, le caractère nécessaire du traitement des données qui relève du contrôle de la proportionnalité.

62.

Ainsi, trois conditions doivent être remplies aux fins de l’application de l’article 7, sous f), de la directive 95/46 : a) l’existence d’un intérêt légitime justifiant le traitement des données ; b) la primauté de cet intérêt sur les droits et les intérêts de la personne concernée par le traitement des données (pondération des intérêts) et c) la nécessité du traitement pour la réalisation de l’intérêt légitime.

63.

D’abord, le traitement au sens de l’article 7, sous f), de la directive 95/46 est conditionné à l’existence d’un intérêt légitime du responsable du traitement des données ou d’un tiers.

64.

La directive 95/46 ne donne pas de définition de l’expression « intérêt légitime» ( 15 ). Ainsi, il appartient au responsable du traitement des données ou au sous-traitant, sous le contrôle des juridictions nationales, de déterminer s’il existe un but légitime qui pourrait justifier une interférence avec la vie privée.

65.

La Cour a déjà eu l’occasion de déclarer que la transparence ( 16 ) ou la protection des biens, de la santé et de la vie familiale ( 17 ) constituent des intérêts légitimes. La notion d’« intérêt légitime » est suffisamment souple pour s’accommoder de toutes sortes de considérations. Il ne fait aucun doute, à mon sens, que l’intérêt d’un tiers à obtenir une information d’ordre personnel concernant une personne qui a porté atteinte à sa propriété afin de l’assigner en justice pour obtenir réparation constitue un intérêt légitime.

66.

La deuxième condition a trait à la pondération de deux types d’intérêts en présence, à savoir les intérêts et les droits de la personne concernée par le traitement des données ( 18 ) et l’intérêt du responsable du traitement ou des tiers. Cette exigence de pondération découle clairement tant du libellé de l’article 7, sous f), de la directive 95/46 que de la genèse de la directive 95/46. Le libellé de l’article 7, sous f), prévoit que l’intérêt légitime de la personne concernée par le traitement des données et l’intérêt légitime du responsable ou d’un tiers soient mis en balance. La genèse de la directive 95/46 confirme que la pondération des intérêts était déjà prévue, quoique de manière légèrement différente, dans la proposition initiale de la Commission ( 19 ) ainsi que dans sa proposition amendée après première lecture du Parlement européen ( 20 ).

67.

La Cour a estimé que l’application de l’article 7, sous f), de la directive 95/46 exige une mise en balance des droits et des intérêts en présence. Il faut tenir compte de l’importance des droits de la personne concernée par le traitement, protégés par les articles 7 et 8 de la Charte ( 21 ). Une telle mise en balance doit être effectuée à la lumière des circonstances concrètes du cas particulier concerné ( 22 ).

68.

La pondération des intérêts est la clé de la bonne application de l’article 7, sous f), de la directive 95/46, c’est ce qui le distingue des autres dispositions de l’article 7. Son application dépend toujours des spécificités du cas d’espèce. C’est pour ces raisons que la Cour a souligné que les États membres ne peuvent pas prescrire, de manière définitive, pour certaines catégories de données à caractère personnel, le résultat de la pondération des droits et intérêts en conflit sans autoriser un résultat différent en raison de circonstances particulières d’un cas concret ( 23 ).

69.

Afin de procéder à cette mise en balance de manière judicieuse, il faut prendre dûment en compte la nature et le caractère sensible des données dont la communication est demandée, leur niveau de divulgation ( 24 ) et la gravité de l’infraction commise. L’un des éléments, pertinent dans la présente affaire qui, le cas échéant, doit être mis en balance, est l’âge du sujet concerné par le traitement.

70.

Pour ce qui concerne la condition de nécessité ou, d’une certaine manière, la proportionnalité, la Cour a déclaré que les dérogations et les restrictions au principe de la protection des données à caractère personnel doivent s’opérer dans les limites du strict nécessaire ( 25 ). Par conséquent, la nature et le volume des données qui pourraient être traitées ne sauraient aller au-delà de ce qui est nécessaire pour la réalisation des intérêts légitimes en présence.

71.

L’examen de la proportionnalité consiste dans l’appréciation de la relation entre les objectifs poursuivis et les moyens choisis pour les atteindre, moyens qui ne doivent pas aller au-delà de ce qui est nécessaire. Néanmoins, cette logique doit fonctionner également dans l’autre sens : les moyens mis en œuvre doivent permettre d’atteindre l’objectif fixé.

72.

En des termes plus concrets, deux possibilités s’offrent au responsable du traitement des données qui doit procéder à l’examen de la condition de nécessité : soit il s’abstient de communiquer toute information, soit, s’il décide de procéder au traitement de cette information, il doit communiquer toutes les informations nécessaires afin de réaliser l’intérêt légitime en cause ( 26 ).

73.

Tout d’abord, l’article 6, paragraphe 1, sous c), et le considérant 28 de la directive 95/46 exigent que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, mais également pour lesquelles elles sont traitées ultérieurement ( 27 ). Ainsi, il ressort de ces dispositions que les données communiquées doivent également être adéquates et pertinentes pour la réalisation de l’intérêt légitime.

74.

Ensuite, pour ce qui concerne les données qui devraient faire l’objet du traitement, le bon sens plaide en faveur d’une approche raisonnable. Il faut fournir aux personnes qui en font la demande des informations utiles et pertinentes qui sont nécessaires et suffisantes afin que leur propre intérêt légitime soit satisfait sans qu’elles doivent solliciter une autre entité qui pourrait détenir également l’information recherchée.

75.

De manière métaphorique, l’application de la condition de nécessité ne devrait pas transformer la réalisation d’un intérêt légitime en une quête kafkaïenne qui présenterait de fortes ressemblances avec un épisode du jeu français « Fort Boyard », où les participants sont envoyés d’une cellule à l’autre afin de recueillir différents indices pour deviner l’endroit où ils sont censés se rendre.

76.

Enfin, il faut réaffirmer que l’étendue précise des données qui doivent être communiquées relève du droit national. Certes, le droit national ne pourrait prévoir qu’une communication partielle, ce qui serait insuffisant en soi. C’est en effet possible. Le fait que le droit national semble dépourvu de logique en pratique ne le rend pas automatiquement incompatible avec le droit de l’Union pour autant que cette législation nationale n’excède pas les compétences dévolues aux États membres. Ce qui est suggéré ici, c’est que l’article 7, sous f), de la directive 95/46 ne s’oppose pas à la communication exhaustive de toutes les informations nécessaires qui permettent de poursuivre de manière effective un objectif légitime, si les conditions requises sont remplies.

77.

Après avoir exposé le cadre général d’analyse, je me concentrerai maintenant sur la présente affaire avec cette réserve qu’il appartient naturellement à la juridiction nationale de se prononcer in fine étant donné sa connaissance précise des faits et du droit national.

78.

Rīgas Satiksme a demandé à la police l’adresse du passager du taxi et son numéro d’identification afin de saisir les juridictions civiles pour obtenir la réparation des dommages occasionnés.

79.

Tout d’abord, ainsi que le soutiennent à juste titre les gouvernements tchèque, espagnol et portugais, l’exercice d’un droit en justice, comme dans la procédure au principal, est un intérêt légitime au sens de l’article 7, sous f), de la directive 95/46.

80.

Cela est également confirmé à l’article 8, paragraphe 2, sous e), de la directive 95/46, qui prévoit le traitement de certaines données sensibles lorsque « le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ». Si l’exercice d’un droit en justice peut justifier le traitement de données sensibles en vertu de l’article 8, je ne vois pas pourquoi il ne pourrait pas être perçu a fortiori comme un intérêt légitime justifiant le traitement de données non sensibles en vertu de l’article 7, sous f), de la directive 95/46. Cette interprétation découle également d’une approche pragmatique de la directive 95/46 à la lumière d’autres instruments de droit dérivé (indiqués ci-dessus) qui visent à atteindre un équilibre entre le respect de la vie privée et le droit à une protection juridictionnelle effective ( 28 ).

81.

Ensuite, pour ce qui concerne la pondération des intérêts, en général, je ne vois pas pourquoi les droits fondamentaux de la personne concernée par le traitement devraient prévaloir sur l’objectif spécifique de la partie lésée, à savoir introduire un recours de droit civil afin d’obtenir réparation. Il vaut peut-être également la peine d’ajouter, dans ce contexte, que la partie défenderesse au principal demande seulement, en réalité, la possibilité d’introduire une instance devant une juridiction civile. La communication des données, en soi, ne conduirait pas, par conséquent, à une modification immédiate de la situation juridique de la personne concernée.

82.

Néanmoins, ainsi que le fait valoir à juste titre le gouvernement portugais, il faut prendre en compte l’âge de la personne concernée justement lorsque l’on procède à la pondération des intérêts.

83.

La juridiction de renvoi demande en effet dans quelle mesure le fait que le passager du taxi était mineur au moment de l’accident est pertinent. À la lumière des circonstances particulières de l’affaire, je crois que ce fait n’est pas pertinent.

84.

En principe, dans la pondération des intérêts, on devrait tenir compte du fait que la personne concernée par le traitement des données est mineure. Néanmoins, l’attention particulière de même que la protection accrue dont un mineur doit faire l’objet devraient avoir un lien évident avec le type de données traitées. Sauf s’il est établi précisément, dans un cas spécifique, que leur communication risquerait de porter atteinte au développement physique ou mental d’un enfant, notamment, je ne vois pas pourquoi le fait que le préjudice a été occasionné par un mineur devrait conduire à une exonération de responsabilité délictuelle.

85.

Enfin, si la pondération des intérêts conduisait à mettre sur un pied d’égalité les intérêts de la personne concernée et les intérêts de la personne qui demande la communication des données à caractère personnel, la dernière question qui se pose dès lors est celle de la nécessité de divulguer ces données et de son étendue.

86.

C’est encore à la juridiction de renvoi qu’il appartient d’identifier en droit interne le fondement juridique justifiant cette divulgation. Si ce fondement est identifié, la condition de « nécessité » prévue à l’article 7, sous f), de la directive 95/46 ne s’oppose certainement pas, à mon sens, à la communication exhaustive de toutes les informations nécessaires afin d’introduire un recours de droit civil conformément au droit letton.

87.

Le gouvernement letton fait valoir que, selon une jurisprudence constante, la protection du droit fondamental au respect de la vie privée exige que les dérogations à la protection des données à caractère personnel ainsi que les restrictions y afférentes devraient être limitées au strict nécessaire. Bien qu’il ait admis qu’il était possible d’obtenir plus de données par des voies alternatives, il a reconnu que les nom et prénom étaient insuffisants pour introduire une action en justice et a renvoyé l’examen de cette question au juge national.

88.

Il faut noter que l’article 8, paragraphe 7, de la directive 95/46 donne une certaine latitude aux États membres pour décider de la communication de numéros nationaux d’identification. Les États membres ne devraient donc pas être obligés de procéder au traitement des numéros d’identification sauf si cela est absolument nécessaire pour entamer une procédure civile.

89.

Indépendamment de la nature exacte des données, ce qui importe, c’est de disposer de toutes les données pertinentes indispensables pour l’exercice d’un droit en justice. Ainsi, si l’adresse est suffisante en vertu du droit national, aucune autre information ne devrait être communiquée.

90.

Il appartient au juge national de déterminer le volume des données à caractère personnel nécessaires pour que Rīgas satiksme puisse effectivement engager une action en justice conformément au droit letton ( 29 ). Je souhaiterais simplement souligner, ainsi que je l’ai déjà précisé aux points 74 et 75 des présentes conclusions, que l’existence de voies alternatives pour obtenir les données à caractère personnel nécessaires n’est pas pertinente aux fins de l’application de l’article 7, sous f), de la directive 95/46. Rīgas satiksme devrait être en mesure d’obtenir toutes les informations nécessaires qu’elle a demandées auprès du responsable du traitement.

91.

Il s’agit d’une affaire quelque peu particulière. La juridiction de renvoi demande, en substance, si une exception permettant le traitement des données à caractère personnel peut être interprétée comme une obligation imposant au responsable du traitement des données de communiquer l’identité d’une personne ayant occasionné un accident de la circulation routière. Il semblerait que la véritable raison pour laquelle cette question a été posée est qu’il est difficile, si ce n’est impossible, d’obtenir cette information au niveau national, au nom de la protection des données.

92.

Un spectateur ignorant qui observerait la série des faits en cause pourrait soulever innocemment la question suivante : une affaire concernant la demande d’une personne portant sur l’identité d’une autre personne qui a occasionné un dommage à un bien lui appartenant et que la première souhaite attraire en justice pour obtenir réparation nécessite-t-elle vraiment, de la part des officiers de police, d’effectuer une pondération à différents niveaux des intérêts des parties et un contrôle de la proportionnalité, un contentieux qui se prolonge dans le temps, ainsi qu’un avis de l’autorité nationale de la protection des données ?

93.

La présente affaire constitue un nouvel exemple ( 30 ) dans lequel les règles en matière de protection de la vie privée visent un objectif et sont employées dans des circonstances surprenantes. Cela crée, et pas seulement pour le spectateur ignorant, un certain inconfort intellectuel quant à l’usage raisonnable et à la fonction des règles relatives à la protection des données. Je saisirai cette opportunité pour formuler quelques remarques conclusives à cet égard.

94.

Il ne fait aucun doute que la protection des données à caractère personnel présente une valeur primordiale à l’ère numérique. La Cour a été, à raison, à l’avant-garde du développement de la jurisprudence dans ce domaine ( 31 ).

95.

Néanmoins, les affaires mentionnées reflètent la principale préoccupation sous-jacente à la protection des données à caractère personnel – que les règles qui ont été introduites à l’origine et qui doivent être énergiquement protégées visaient –, à savoir le traitement des données à caractère personnel à grande échelle par des moyens mécaniques, numériques, sous toutes leurs formes, comme l’agrégation, la gestion et l’utilisation d’ensemble de données importantes, la transmission d’ensemble de données dans des buts illégitimes, le regroupement et l’archivage de métadonnées, etc.

96.

Comme dans d’autres domaines du droit, les règles qui régissent certaines activités doivent être suffisamment souples afin de s’appliquer à toutes les situations qui pourraient se présenter. Néanmoins, le risque est de donner une interprétation trop large à ces règles. Cela pourrait conduire à leur application également dans des situations dans lesquelles le lien avec l’objectif est quelque peu ténu et discutable. Une application trop large et, dans un certain sens, « absolue » pourrait aussi aboutir à discréditer l’idée de départ qui était très importante en soi et légitime.

97.

D’une manière générale, dans l’arrêt Promusicae, la Cour a insisté sur la nécessité d’interpréter les directives concernant les données à caractère personnel de sorte à assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique de l’Union ( 32 ).

98.

Il conviendrait peut-être d’ajouter à cela une certaine « règle de raison » au moment de la pondération des intérêts. Cela impliquerait de garder à l’esprit l’objet originel et essentiel (simplement essentiel, mais certainement pas unique) de la législation, à savoir réglementer les opérations à plus grande échelle réalisées par des moyens mécaniques et automatiques, ainsi que l’utilisation et le transfert des informations obtenues grâce à ce processus. En revanche, il faut adopter une approche beaucoup plus subtile, à mon avis, dans les situations dans lesquelles une personne demande une seule information concernant une autre personne en particulier dans le cadre d’une relation concrète, lorsqu’il existe une finalité claire et pleinement légitime qui découle de l’application normale du droit.

99.

En somme, le bon sens n’est pas une source du droit, mais il est sans nul doute utile afin d’en guider l’interprétation. Il serait très regrettable que la protection des données à caractère personnel ne dégénère en une obstruction du fait des données à caractère personnel.

100.

Eu égard aux considérations qui précèdent, je propose à la Cour de répondre à la question déférée par l’Augstākā tiesa, l’Administratīvo lietu departaments (Cour Suprême, département des affaires administratives, Lettonie) de la manière suivante :

L’article 7, sous f), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ne peut pas être interprété comme imposant au responsable du traitement une obligation de communiquer les données à caractère personnel demandées par un tiers afin de saisir le juge civil.

Néanmoins, l’article 7, sous f), de la directive 95/46 ne s’oppose pas à cette communication, à condition que le droit national prévoie la communication de données à caractère personnel dans des situations analogues à celle de la présente affaire. Le fait que la personne concernée était mineure au moment de l’accident n’est pas pertinent à cet égard.