EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62007CC0553

Conclusions de l'avocat général Ruiz-Jarabo Colomer présentées le 22 décembre 2008.
College van burgemeester en wethouders van Rotterdam contre M. E. E. Rijkeboer.
Demande de décision préjudicielle: Raad van State - Pays-Bas.
Protection des personnes physiques à l'égard du traitement des données à caractère personnel - Directive 95/46/CE - Protection de la vie privée - Effacement des données - Droit d'accès aux données et à l'information sur les destinataires des données - Délai d'exercice du droit d'accès.
Affaire C-553/07.

European Court Reports 2009 I-03889

ECLI identifier: ECLI:EU:C:2008:773

CONCLUSIONS DE L’AVOCAT GÉNÉRAL

M. DÁMASO RUIZ-JARABO COLOMER

présentées le 22 décembre 2008 ( 1 )

Affaire C-553/07

College van burgemeester en wethouders van Rotterdam

contre

M. E. E. Rijkeboer

«Protection des personnes physiques à l’égard du traitement des données à caractère personnel — Directive 95/46/CE — Protection de la vie privée — Effacement des données — Droit d’accès aux données et à l’information sur les destinataires des données — Délai d’exercice du droit d’accès»

I — Introduction

1.

Le Nederlandse Raad van State (Conseil d’État, Pays-Bas) a saisi la Cour d’une question préjudicielle portant sur l’interprétation des articles 6 et 12 de la directive 95/46/CE, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ( 2 ). Ce renvoi préjudiciel est formé sur un terrain épineux: celui de la suppression et de la cession à des tiers de données à caractère personnel détenues par une administration municipale et celui du droit d’accès aux données relatives au traitement qui en découle.

2.

En principe, la destruction de données constitue une action protectrice. Toutefois, elle entraîne d’autres conséquences, puisque la destruction des fichiers engendre également la perte des traces de leur usage. Ainsi, la personne qui était en apparence protégée se retrouve également lésée, car elle ne connaîtra jamais l’emploi que le possesseur de ses données personnelles a fait de ces dernières ( 3 ).

3.

Sur fond de ce débat, la Cour doit statuer sur la question de savoir si le délai pour la suppression des données fait office de limite temporelle pour le droit d’accès aux informations relatives au traitement. Dans l’affirmative, il convient de déterminer si la période d’un an est suffisante et proportionnée pour la garantie des droits prévus par la directive 95/46.

II — Les faits

4.

La décision de renvoi expose que M. M. E. E. Rijkeboer a demandé au College van burgemeester en wethouders van Rotterdam (mairie de Rotterdam, ci-après le «College»), sur la base des archives de l’administration communale, une liste des communications à des tiers d’informations le concernant réalisées au cours des deux années précédentes. Par décisions des 27 et , le College a partiellement rejeté la demande de M. Rijkeboer en lui fournissant uniquement les données relatives à l’année précédente. En désaccord avec cette décision de la municipalité, M. Rijkeboer a introduit une réclamation, qui a également été rejetée le .

5.

Les voies de recours administratives étant épuisées, le Rechtbank Rotterdam (tribunal de Rotterdam) a fait droit au recours de M. Rijkeboer. Dans son arrêt du 17 novembre 2006, le Rechtbank Rotterdam a annulé la décision administrative rejetant certaines demandes de l’intéressé et a ordonné au College d’adopter une nouvelle décision.

6.

Le 28 décembre 2006, le College a fait appel devant la section du contentieux administratif du Raad van State qui, par décision du , a suspendu la procédure au principal et a saisi la Cour d’une question préjudicielle.

III — Le cadre juridique

A — Le cadre juridique communautaire

7.

L’article 6, paragraphes 1 et 2, UE proclame l’attachement de l’Union aux droits fondamentaux dans les termes suivants:

«Article 6

1.   L’Union est fondée sur les principes de la liberté, de la démocratie, du respect des droits de l’homme et des libertés fondamentales, ainsi que de l’État de droit, principes qui sont communs aux États membres.

2.   L’Union respecte les droits fondamentaux, tels qu’ils sont garantis par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, et tels qu’ils résultent des traditions constitutionnelles communes aux États membres, en tant que principes généraux du droit communautaire.

[…]»

8.

Le droit fondamental au respect de la vie privée, en tant que principe général du droit communautaire, a trouvé une expression normative dans la directive 95/46. Ce texte, dont les principes ont été repris par l’article 8 de la charte des droits fondamentaux de l’Union européenne, définit la notion de «données» et prévoit leur suppression à l’issue d’une certaine durée de traitement. Les articles 2, sous a), et 6 de ladite directive disposent:

«Article 2

[…]

a)

‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

[…]

Article 6

1.   Les États membres prévoient que les données à caractère personnel doivent être:

[…]

e)

conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques.»

9.

Pour garantir une transparence du traitement de données, les articles 10 et 11 de la directive 95/46 prévoient des obligations d’information en faveur de la personne concernée par les données, qui dépendent de la question de savoir si les données ont été collectées auprès de cette personne ou non. Le responsable de la gestion des fichiers est notamment soumis aux obligations suivantes:

«Article 10

Informations en cas de collecte de données auprès de la personne concernée

Les États membres prévoient que le responsable du traitement ou son représentant doit fournir à la personne auprès de laquelle il collecte des données la concernant au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a)

l’identité du responsable du traitement et, le cas échéant, de son représentant;

b)

les finalités du traitement auquel les données sont destinées;

c)

toute information supplémentaire telle que:

les destinataires ou les catégories de destinataires des données,

le fait de savoir si la réponse aux questions est obligatoire ou facultative ainsi que les conséquences éventuelles d’un défaut de réponse,

l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

Article 11

Informations lorsque les données n’ont pas été collectées auprès de la personne concernée

1.   Lorsque les données n’ont pas été collectées auprès de la personne concernée, les États membres prévoient que le responsable du traitement ou son représentant doit, dès l’enregistrement des données ou, si une communication de données à un tiers est envisagée, au plus tard lors de la première communication de données, fournir à la personne concernée au moins les informations énumérées ci-dessous, sauf si la personne en est déjà informée:

a)

l’identité du responsable du traitement et, le cas échéant, de son représentant;

b)

les finalités du traitement;

c)

toute information supplémentaire telle que:

les catégories de données concernées,

les destinataires ou les catégories de destinataires des données,

l’existence d’un droit d’accès aux données la concernant et de rectification de ces données,

dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer à l’égard de la personne concernée un traitement loyal des données.

[…]»

10.

Les personnes concernées par les données peuvent veiller à leur bon usage en exerçant leur «droit d’accès», dont les caractéristiques principales sont définies à l’article 12 de la directive 95/46. Le premier cas de figure prévu par cet article est pertinent aux fins de la présente affaire:

«Article 12

Droit d’accès

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

a)

sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1;

[…]».

11.

Dans les cas de figure énumérés à l’article 13 de la directive 95/46, les États membres peuvent limiter l’obligation de suppression des données ainsi que le droit d’accès:

«Article 13

[…]

1.   Les États membres peuvent prendre des mesures législatives visant à limiter la portée des obligations et des droits prévus à l’article 6 paragraphe 1, à l’article 10, à l’article 11 paragraphe 1 et aux articles 12 et 21, lorsqu’une telle limitation constitue une mesure nécessaire pour sauvegarder:

a)

la sûreté de l’État;

b)

la défense;

c)

la sécurité publique;

d)

la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas des professions réglementées;

e)

un intérêt économique ou financier important d’un État membre ou de l’Union européenne, y compris dans les domaines monétaire, budgétaire et fiscal;

f)

une mission de contrôle, d’inspection ou de réglementation relevant, même à titre occasionnel, de l’exercice de l’autorité publique, dans les cas visés aux points c), d) et e);

g)

la protection de la personne concernée ou des droits et libertés d’autrui.

[…]»

B — Le cadre juridique national

12.

La directive 95/46 a été transposée dans l’ordre juridique néerlandais par un texte général, la loi relative à la protection des données à caractère personnel (Wet bescherming persoonsgegevens). Dans la présente procédure préjudicielle, cette loi présente un caractère subsidiaire, car les communes sont soumises à un régime juridique spécial résultant de la loi relative aux données personnelles détenues par les administrations communales (Wet gemeentelijke basisadministratie persoonsgegevens). Son article 103, paragraphe 1, prévoit les conditions dans lesquelles un particulier peut accéder aux informations relatives au traitement des données le concernant:

«Article 103

1.   Le College van burgemeester en wethouders fait savoir par écrit à la personne concernée, sur sa demande, dans un délai de quatre semaines, si des données la concernant provenant de la base de données ont été communiquées à un demandeur ou à un tiers durant l’année précédant la demande.

[…]»

IV — La question préjudicielle

13.

Le 12 décembre 2007, le greffe de la Cour a reçu la demande de décision préjudicielle du Raad van State, qui porte sur la question suivante:

«La limitation, prévue par la loi, de la communication des données à l’année précédant la demande concernée est-elle compatible avec l’article 12, phrase introductive et sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lue ou non en liaison avec l’article 6, paragraphe 1, sous e), de cette directive et avec le principe de proportionnalité?»

14.

Des observations ont été déposées, dans le délai imparti par l’article 23 du statut de la Cour de justice, par le College, par les gouvernements néerlandais, tchèque, hellénique, espagnol et du Royaume-Uni ainsi que par la Commission des Communautés européennes.

15.

Les représentants du College et de M. Rijkeboer ainsi que les agents des gouvernements néerlandais, tchèque, espagnol, du Royaume-Uni et de la Commission ont comparu à l’audience qui s’est tenue le 20 novembre 2008 afin d’exposer oralement leurs allégations.

V — Délimitation de la question litigieuse

16.

La présente affaire soulève plusieurs questions présentant une certaine complexité conceptuelle. En substance, il s’agit de déterminer s’il peut exister un délai spécifique pour la suppression des informations relatives au traitement de données à caractère personnel. Une fois ces données effacées conformément à la directive 95/46, la porte au droit d’accès est fermée, puisqu’on ne peut demander une information qui n’existe plus. Par conséquent, le débat tourne autour d’une restriction à un pouvoir qui est également expressément prévu par la directive 95/46. Cette tension qui existe entre la suppression des données et le droit d’accès révèle un conflit interne à ladite directive, sur lequel la Cour doit se prononcer.

17.

Il convient donc de trancher la question de savoir si les données relatives au traitement bénéficient ou peuvent bénéficier d’un régime identique à celui des données à caractère personnel. Il convient également de déterminer si le délai de suppression des données doit en tout cas faire office de limite au droit d’accès. Ces questions doivent être résolues dans un contexte factuel et normatif quelque peu confus, car le Raad van State n’a pas indiqué si le délai prévu pour la suppression des données relatives au traitement est identique ou inférieur à celui prévu pour la suppression des données à caractère personnel. Il convient donc d’analyser les deux hypothèses, en vue de fournir une réponse utile à la juridiction de renvoi.

VI — Discussion préliminaire: la mise en balance des intérêts à la lumière des droits fondamentaux de l’Union

A — Le droit fondamental à la protection de la vie privée et son évolution communautaire

18.

Conformément aux postulats de sa charte constitutionnelle ( 4 ), l’Union européenne est fondée sur les droits fondamentaux, dont la Cour assure le respect ( 5 ). Après plus d’une décennie d’évolution jurisprudentielle, qui a débuté avec les arrêts Stauder ( 6 ) et Internationale Handelsgesellschaft ( 7 ), les États membres ont pleinement reconnu le caractère structurel de ces droits en adoptant l’article F de l’Acte unique européen qui, ultérieurement, est devenu l’article 6 UE. Cette disposition proclame que l’Union respecte les droits fondamentaux, tels qu’ils sont garantis par la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales (ci-après la «CEDH») ( 8 ), et tels qu’ils résultent des traditions constitutionnelles communes aux États membres.

19.

Le droit à la protection de la vie privée fait partie de ces traditions. Depuis l’arrêt Stauder ( 9 ), la jurisprudence a inscrit la protection de la vie privée parmi les principes généraux du droit communautaire. Dans un premier temps, elle l’a fait dans le contexte des obligations de communication de données telles que le nom ( 10 ) ou des informations médicales ( 11 ), au niveau national ( 12 ) tout comme au niveau communautaire ( 13 ). Peu de temps après, au cours des années 1990, la Cour a établi l’incidence de ce droit dans le domaine de la vie privée ( 14 ) et familiale ( 15 ).

20.

L’année 1995 a constitué un tournant avec l’adoption de la directive 95/46. La jurisprudence de la Cour en la matière, qui, jusqu’alors, suivait une approche éparse et au cas par cas, a ainsi reçu un fondement plus solide, car la directive délimite de manière détaillée l’objet ( 16 ), les sujets ( 17 ), et les éventuels recours dont dispose une personne lorsque des informations la concernant circulent ( 18 ). Le dixième considérant de la directive 95/46 matérialise sa vocation d’instrument de protection des droits fondamentaux tels que reconnus par la CEDH et par les principes généraux du droit communautaire ( 19 ). L’arrêt Österreichischer Rundfunk e.a. a confirmé que la directive 95/46, tout en ayant pour objectif de garantir la libre circulation des données, présente également un aspect important de sauvegarde des droits fondamentaux ( 20 ).

21.

En résumé, la directive 95/46 développe le droit fondamental à la protection de la vie privée, dans sa dimension relative au traitement automatisé des informations à caractère personnel ( 21 ).

22.

À titre de preuve de cette volonté de codification, il suffit de renvoyer à l’article 8 de la charte des droits fondamentaux de l’Union européenne ( 22 ), qui est dédié à la «protection des données à caractère personnel» et qui consacre un droit d’accès ainsi qu’un droit à un traitement loyal. Cet article reconnaît également un droit d’accéder aux données et d’en obtenir la rectification. Malgré les précautions avec lesquelles il convient de recourir à la charte ( 23 ), il semble difficile d’ignorer ses dispositions et de nier que ces éléments de droit font partie des traditions constitutionnelles communes aux États membres ( 24 ). Cette considération est renforcée par le fait que plus de dix années se sont écoulées depuis l’adoption de la directive 95/46 et qu’une harmonisation efficace s’est produite en la matière ( 25 ).

23.

L’article 8 de la charte met précisément en évidence deux aspects pertinents pour le litige au principal. Ces deux aspects se retrouvent dans les articles 6 et 12 de la directive 95/46. Il s’agit, d’une part, de l’obligation de suppression des données à l’issue d’un délai n’excédant pas celui nécessaire à la réalisation des finalités pour lesquelles elles sont collectées [article 6, paragraphe 1, sous e)] et, d’autre part, du droit d’accès sans contrainte aux informations portant sur les destinataires auxquels les données sont communiquées [article 12, sous a)]. Comme la charte reprend ces aspects et les intègre dans la substance du droit fondamental à la protection de la vie privée, la question préjudicielle du Raad van State requiert une mise en balance des intérêts afin de parvenir à une solution rationnelle qui aménage ces dispositions dans le cadre constitutionnel qui leur correspond ( 26 ).

24.

À titre liminaire, dans le cadre de la description des clés de lecture de la directive 95/46, il convient d’étudier cette dernière du point de vue téléologique afin de déterminer l’intérêt dominant.

B — Le droit fondamental à la protection de la vie privée et ses tensions internes

25.

La présente affaire ne concerne pas deux droits fondamentaux, mais deux aspects d’un même droit. À la différence de ce qui s’est produit dans les cas dans lesquels, par exemple, le droit à l’honneur et la liberté d’information ou le droit à la protection de la vie privée et le droit de propriété entrent en conflit, l’espèce porte sur deux obligations à la charge des pouvoirs publics: celle de prévoir des délais pour la destruction des fichiers contenant des données à caractère personnel et celle de garantir l’accès aux personnes concernées par ces données. Cette particularité démarque le cas de M. Rijkeboer d’autres affaires sur lesquelles la Cour a déjà statué, telles que les affaires Lindqvist ( 27 ) ou Promusicae ( 28 ), dans lesquelles la protection de la vie privée entrait en conflit avec, respectivement, le droit à la liberté de religion et le droit de propriété ( 29 ). En revanche, l’espèce porte sur un conflit intérieur à un seul droit, qui, à l’instar du Dr Jekyll et de Mr Hyde, est partagé entre deux esprits, car en son sein cohabitent, comme je le montrerai plus loin, la bonté et une cruauté froide et calculatrice.

26.

La conservation de données par les responsables du traitement est une charge limitée dans le temps, puisque la directive 95/46 prévoit qu’elle ne peut excéder la durée nécessaire à la réalisation des finalités pour lesquelles les données sont collectées ou pour lesquelles ces dernières sont traitées ultérieurement. Cette fermeté découle de l’article 6, qui laisse aux États membres le soin de déterminer les délais pertinents en fonction des secteurs et des finalités qui se trouvent à la base de la création et de l’élimination ultérieure des fichiers. Malgré la flexibilité que cette disposition confère à chaque ordre juridique national, l’article 13 de la directive 95/46 prévoit des exceptions à ce principe en autorisant une conservation supérieure à la normale lorsque des intérêts généraux tels que la sûreté de l’État, la lutte contre la criminalité ou la recherche scientifique l’exigent.

27.

Les considérants de la directive 95/46, qui ne font pas mention de cette circonstance, n’accordent pas d’importance particulière aux limites de la conservation des données. Ainsi, seuls les articles 6 et 12 portent sur cette obligation et, compte tenu de la marge d’appréciation généreuse que la directive 95/46 attribue aux États membres, je considère que le législateur communautaire ne s’est pas focalisé sur cette question, comme le montre une confrontation entre les règles la concernant et celles relatives aux droits d’accès ( 30 ).

28.

La possibilité pour la personne concernée par les données d’accéder à celles-ci et de demander leur rectification, leur suppression ou leur verrouillage constitue l’un des aspects essentiels de la directive 95/46. Les trente-huitième et quarantième considérants de ladite directive confortent cette idée, non seulement parce qu’ils confirment l’importance du droit d’accès, mais également en raison du lien implicite entre l’information dont dispose la personne concernée par les données et le traitement de ces dernières. En effet, pour que les droits reconnus par l’article 12 soient viables, une série de principes fondamentaux doivent entrer en jeu, faute de quoi les garanties prévues par cette disposition seraient vidées de leur substance. Le quarante et unième considérant l’indique très clairement lorsqu’il constate que «toute personne doit pouvoir bénéficier du droit d’accès aux données la concernant qui font l’objet d’un traitement, afin de s’assurer notamment de leur exactitude et de la licéité» ( 31 ) de leur traitement. Sur ce point, les «principes relatifs à la qualité des données» énoncés dans la section I du chapitre II de la directive 95/46 prennent tout leur sens. Parmi ces principes figure l’obligation de conserver les données pendant une durée «n’excédant pas celle nécessaire à la réalisation des finalités» pour lesquelles elles sont collectées. L’obligation de détruire les fichiers se rattache à celle de traiter l’information «loyalement et licitement» et à celle de garantir sa qualité pour qu’elle soit adéquate, pertinente, non excessive et exacte ( 32 ).

C — Le caractère accessoire de l’article 6 par rapport à l’article 12 de la directive 95/46

29.

Je suis conscient de la difficulté que comporte la détermination d’un rapport de priorité entre les articles 6 et 12 de la directive 95/46. Il existe des arguments de poids pour considérer que l’élimination des données constitue la clé de voûte du système mis en place par la directive 95/46, qui instaure un droit d’accès permettant aux intéressés de contrôler le respect des obligations de suppression. Dans le même ordre d’idées, le droit à la protection est matérialisé par l’article 12, car l’accès constitue la véritable dimension subjective de la directive qui, en somme, permet aux individus de réagir en défense leurs intérêts.

30.

Dans ce contexte, je ne résiste pas à la tentation de rappeler le vieux dilemme relatif à l’œuf et à la poule. Lequel des deux est apparu le premier? Peut-on vivre avec cette interrogation perpétuelle et admettre qu’elle n’aura jamais de solution, car les deux concepts constituent des réalités éternelles, comme l’écrivait Aristote ( 33 )?

31.

Les tribunaux ne jouissent pas de la liberté de pensée du philosophe et doivent s’efforcer de fournir une réponse, même s’il ne s’agit pas toujours de la réponse la plus juste. Par conséquent, tout comme il existe des scientifiques qui ont pris position au sujet de la sempiternelle controverse de la poule et de l’œuf ( 34 ), je me propose de présenter une solution au conflit entre les articles 6 et 12 de la directive 95/46.

32.

Je déduis des considérations exposées aux points 29 à 35 des présentes conclusions que la directive 95/46 fait apparaître une subordination de la suppression des données au droit d’accès. Les dispositions de la directive confèrent un droit qui naît avec la conception du fichier et qui disparaît avec sa suppression. Par conséquent, la suppression des données ne constitue qu’un moment au cours de l’existence du droit d’accès. L’article 12 conditionne et justifie cette caractéristique.

33.

Le fait de suivre cette ligne de réflexion permet d’acquérir la conviction que le droit d’accès a pour objectif que la personne concernée ait connaissance des données la concernant. Cette pensée peut être approfondie si l’on s’interroge sur la finalité des recherches de cette personne. Dans de nombreux cas, le titulaire du droit d’accès souhaite vérifier la légalité du traitement de données le concernant. La directive 95/46 impose aux responsables de traitements certains principes d’exercice de leurs activités, mais elle tire également sa force des mécanismes de protection, parmi lesquels figure le droit d’accès, en tant qu’outil permettant à la personne concernée par les données de contrôler et de faire respecter l’ordre.

34.

L’article 12, en tant qu’axe central du système de garanties mis en place par la directive 95/46, serait donc dépourvu de logique si les possesseurs de données relatives à des tiers n’étaient pas soumis à une quelconque règle. Conformément à ce que la Commission a exposé à juste titre à l’occasion de l’audience, c’est justement parce qu’il existe des principes relatifs au traitement (article 6) que le droit d’accès est instauré ( 35 ). Ce dernier apparaît comme un pilier fondamental de cette directive, comme le montre son article 12 qui insiste sur la nuance résultant de l’emploi de l’expression «sans contrainte» ( 36 ). Compte tenu du caractère protecteur de la directive 95/46, qui se concentre sur la défense des personnes concernées par les données, il devient évident que l’obligation relative à la conservation des données est auxiliaire par rapport au droit d’accès. La forte inclinaison subjective de la directive et son objectif de protection de droits fondamentaux (en l’espèce, le droit à la protection de la vie privée) consolident cette idée et placent les intérêts sous-jacents à l’article 6 à un niveau normatif inférieur.

35.

Cet argument est confirmé par l’économie de l’article 8 de la charte des droits fondamentaux de l’Union européenne, dont la valeur herméneutique ne fait pas de doute ( 37 ) et dans lequel le droit d’accès est abordé dans le paragraphe 1. Ensuite, le paragraphe 2 de cet article énumère les principes relatifs au traitement, mais en suivant un ordre hiérarchique dans lequel le droit de la personne concernée par les données est prioritaire par rapport aux responsabilités de l’utilisateur de ces données.

36.

C’est sur fond de cette prémisse et en attirant l’attention de la Cour sur la dimension subjective de la directive 95/46, dans laquelle l’article 12 revêt une importance particulière par rapport à l’article 6, que j’aborde l’examen de la question du Raad van State.

VII — Données à caractère personnel et données relatives au traitement

37.

Conformément à ce que j’indique aux points 16 et 17 des présentes conclusions, il convient d’étudier séparément deux hypothèses, dont la pertinence dépend des circonstances de chaque cas de figure, en analysant la légalité du délai lorsque, d’une part, il est plus court que celui prévu pour les données principales et, d’autre part, lorsque le délai prévu pour l’accès aux données relatives au traitement est identique à celui relatif aux données principales. Dans la première hypothèse, il convient de déterminer si la directive admet cette indépendance entre les catégories d’accès fondée sur la nature des données réclamées. Dans la seconde hypothèse, la question de la possibilité de l’accès après la suppression des données pose problème.

38.

Pour apporter une solution rigoureuse à la question du Raad van State, il est indispensable de déterminer préalablement si les délais de suppression doivent s’appliquer communément à toutes les données, y compris les données relatives au traitement, ou si ces délais peuvent être différenciés suivant la nature des informations à caractère personnel. Il existe une différence essentielle qui résulte des fins poursuivies par chaque catégorie d’informations.

39.

Le gouvernement hellénique ainsi que le gouvernement tchèque à l’occasion de l’audience ont souligné que chaque catégorie de données répond à des objectifs différents. Il convient d’exposer, ci-après, les avantages et les inconvénients de ce raisonnement ainsi que ses conséquences sur l’affaire au principal.

40.

La destruction des données à caractère personnel vise à protéger la personne concernée, car, avec la suppression de l’information, tout risque de traitement illégal disparaît. Le fait que la directive 95/46 ne fixe aucun délai dans l’article 6 présente une certaine logique, car chaque fichier sert ses propres objectifs et, conformément au principe de subsidiarité, le législateur national est mieux placé pour décider de la durée de conservation dont disposent les responsables du traitement avant la destruction. Cependant, la suppression des données relatives au traitement répond à des objectifs différents, car elle ne protège pas la personne concernée par les données, qui perd la trace des informations et qui ne peut pas exercer son droit d’accès, puisque les données pertinentes ne sont plus entre les mains du responsable du traitement. Cette suppression des données bénéficie aux tiers qui ont reçu les données, dont l’identité et les intentions sont effacées.

41.

Cette approche met l’accent sur les difficultés conceptuelles latentes dans la présente affaire. Il est clair que l’on peut effectuer une différenciation entre la suppression des données et celle des données portant sur le traitement ( 38 ). Des biens juridiques différents et des fonctions autonomes réglées séparément par la directive 95/46 sont en cause. Mais un tel raisonnement, s’il est poussé à l’extrême, engendre des conséquences indésirables. Premièrement, l’inégalité entre les deux catégories de données est dépourvue de fondement littéral dans la directive 95/46, car l’article 6 porte sur la suppression des données en général, alors que l’article 12 énumère différents types d’informations en vue de donner un contenu au droit d’accès et non pas dans un objectif de différenciation ( 39 ). Deuxièmement, dans le cadre d’une interprétation large, le droit d’accès est conçu pour être exercé «sans contrainte». Comme je l’indique ci-après, il est possible de délimiter le degré de protection de ce droit en fonction des circonstances, mais la rédaction de l’article 12 exclut l’existence de droits d’accès de première et de seconde classe. Troisièmement, comme l’ont souligné la Commission, le Royaume d’Espagne et le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord à l’occasion de l’audience, les deux catégories de données font partie d’une unité technologique, sont habituellement traitées dans les mêmes fichiers et leur gestion conjointe n’occasionne pas une charge particulièrement importante pour les responsables du traitement.

42.

Par conséquent, je rejette la théorie selon laquelle les données portant sur le traitement auraient une existence et un régime juridique propres. Les informations relatives au traitement sont liées aux données à caractère personnel qui font l’objet du traitement, car elles expliquent le mode et les conditions de leur manipulation, ce qui me conduit à défendre l’idée selon laquelle ces données constituent une partie essentielle de la définition communautaire des «données» au sens de l’article 2, sous a), de la directive 95/46. Pour apporter une réponse utile à la juridiction de renvoi, il convient de nuancer cette affirmation à la lumière des deux cas de figure que j’évoque aux points 16 et 17 des présentes conclusions.

VIII — Première hypothèse: un délai de suppression des données portant sur le traitement plus court

43.

La question posée par le Raad van State semble se référer à ce cas de figure: la législation néerlandaise prévoit une conservation prolongée des données à caractère personnel, mais fixe un délai plus court, d’un an, pour la suppression des données relatives au traitement. Toutefois, la décision de renvoi ne donne pas de détail sur les données en cause dans l’affaire au principal et, par conséquent, je prends le risque d’avancer cette première réponse compte tenu dudit cas de figure.

44.

Pour les motifs exposés aux points 37 et 42 des présentes conclusions, je considère que la directive 95/46 n’a pas consacré de distinction entre les données à caractère personnel et les données relatives au traitement. Conscient des problèmes de stockage qu’implique l’acceptation de cette approche, j’estime que le délai de suppression prévu à l’article 6 de la directive 95/46 est le même pour les deux types de données. Bien que l’objectif de la suppression soit différent en fonction du type de données, il m’est difficile de concevoir des régimes différents, fondés sur une séparation aussi artificielle, d’autant plus qu’un droit fondamental est en question.

45.

Comme je l’ai annoncé aux points 29 à 35 des présentes conclusions, le texte de la directive accorde une priorité au droit d’accès, auquel les obligations de suppression sont subordonnées. Pour remplir cet objectif, les données à caractère personnel aussi bien que celles relatives au traitement sont mieux protégées si elles sont conservées pour une durée identique.

46.

La durée de stockage paraît longue dans certains cas, mais elle est justifiée par l’intérêt général, qui peut également être invoqué pour prolonger la durée de vie des données relatives au traitement. Lorsque le stockage devient excessivement long, en raison de l’usage des fichiers à des fins historiques, statistiques ou scientifiques, la directive 95/46 oblige les États membres à adopter des mesures spécifiques qui adaptent l’emploi de ces fichiers aux circonstances qui justifient leur conservation prolongée ( 40 ). Il convient donc de définir d’autres mesures garantissant la protection de la personne concernée par les données, même si celles-ci sont adaptées à un usage historique ou culturel au sens de l’article 6, sous e), de la directive 95/46.

47.

De plus, comme l’indique le College dans ses observations écrites qu’il a confirmées à l’occasion de l’audience, il existe d’autres limites à cette obligation de stockage des données relatives au traitement pour une durée identique à celle des données à caractère personnel. L’exemple présenté par le College me paraît décisif. Il concerne la protection des informations relatives au tiers qui, à leur tour, bénéficient de la protection offerte par la directive 95/46, ce qui ne signifie pas qu’il faille priver totalement de ses droits la personne originairement concernée par les informations transférées. Cette restriction implique, exclusivement en ce qui concerne les données à caractère personnel relatives au tiers, que la personne originairement concernée par les données est soumise aux mêmes limitations que tout autre cessionnaire aux fins de la directive 95/46.

48.

Par conséquent, si les données à caractère personnel et les données relatives au traitement sont soumises à un délai de suppression commun, il n’est pas nécessaire d’apprécier la proportionnalité du délai d’un an prévu par la législation néerlandaise. Si la durée de conservation des données à caractère personnel est plus longue que celle des données portant sur le traitement, la réponse à la question préjudicielle s’arrête à ce stade.

49.

Si le contexte normatif de l’affaire était différent, la solution au renvoi préjudiciel serait différente, dans la mesure où il y aurait une coïncidence entre les délais et où la personne concernée par les données demanderait l’accès à une information préalablement détruite.

IX — Deuxième hypothèse: un délai de suppression commun aux deux catégories de données

A — La rédaction littérale de l’article 12 de la directive 95/46

50.

Le Royaume d’Espagne, la République tchèque et le Royaume des Pays-Bas estiment que l’article 12 établit le lien entre l’accès aux données et leur suppression prévue à l’article 6, eu égard au libellé de l’article 12, sous a), deuxième tiret. Cette disposition oblige les États membres à garantir le droit d’obtenir du responsable du traitement la «communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données». Il ressort du libellé de cette disposition que la directive 95/46 limite le droit d’accès aux données traitées, ce qui exclut les demandes d’accès réalisées après la fin du traitement, c’est-à-dire après la suppression des données. Cette interprétation est renforcée par la comparaison des diverses versions linguistiques, qui divergent en ce qui concerne l’intensité avec laquelle elles manifestent le caractère temporaire et fixe du droit d’accès.

51.

Cet argument n’est pas convaincant, car, même si la version anglaise fait référence aux données «undergoing processing» ( 41 ), la version espagnole («datos objeto de los tratamientos») apporte une nuance plus ambiguë. Je reconnais qu’une interprétation stricte du libellé serait plus cohérente avec l’obligation de suppression consacrée à l’article 6. Toutefois, je ne crois pas que la confrontation des versions linguistiques soit déterminante, d’autant plus qu’il existe des raisons de faire abstraction de la construction grammaticale de l’article 12, que j’exposerai plus loin ( 42 ).

52.

Je ne me rallie pas non plus à la position du Royaume d’Espagne selon laquelle il conviendrait d’ajouter une autre exception à l’article 12 qui se joindrait à celles de l’article 13 de la directive 95/46 ( 43 ). Après avoir admis que l’accès serait limité aux données en cours de traitement, le gouvernement espagnol estime qu’une restriction de nature tacite, dont la teneur découle de l’obligation précitée prévue à l’article 6 de la directive, s’ajoute à celles de l’article 13 de la directive 95/46. Cette explication ne me convainc pas et étaie de manière significative la thèse qu’elle prétend combattre: si l’article 13 regroupe les exceptions à un droit d’accès étendu, celles-ci doivent faire l’objet d’une interprétation stricte. Une exception généreuse à ces restrictions n’étant pas acceptable, il serait d’autant plus intolérable d’en créer d’autres catégories ex novo.

53.

En résumé, le libellé des dispositions de la directive 95/46 m’incite à rejeter une appréciation réductrice du droit d’accès. Ces motifs ne conduisent pas à une conception unitaire du délai, puisque, en vertu de la hiérarchie interne de la directive 95/46, le droit d’accès prime l’obligation de suppression. La suppression du fichier constitue donc une limite à l’accès qui n’est licite qu’à la condition que certaines garanties soient respectées. C’est-à-dire qu’il est possible de conditionner l’exercice du droit d’accès (par exemple en fixant un délai) dès lors que la personne concernée par les données est protégée par d’autres moyens. Si tel n’était pas le cas, il existerait des délais de suppression des données qui s’avéreraient illégaux, car ils paralyseraient le droit d’accès, ce qui ne signifie toutefois pas qu’il faille effectuer une différenciation entre les informations et obliger les responsables à conserver éternellement les données relatives au traitement. Au contraire, cela implique que le délai de suppression des données doit être prolongé, de sorte que l’accès soit garanti.

54.

Par conséquent, j’estime que le délai de suppression constitue également une restriction au droit prévu à l’article 12 de la directive 95/46. Cependant, ce délai peut porter atteinte à la directive s’il gêne excessivement les objectifs qu’elle poursuit.

B — Une exception à la règle: l’information de l’intéressé

55.

Pour les raisons qui viennent d’être exposées, je considère que le délai de suppression des données constitue un frein à l’exercice du droit d’accès, bien qu’il existe des circonstances dans lesquelles un décalage entre les délais relatifs à la suppression et à l’accès apparaît. En employant le mot «décalage», je fais référence à la possibilité que la durée soit proportionnée pour la suppression et disproportionnée pour l’accès ou vice versa. Je suis conscient des complications pratiques résultant de cette approche, mais une telle conséquence peut se produire dans un contexte très particulier, lorsque l’intéressé n’a pas été informé à suffisance de ses droits.

56.

Une telle conséquence se produit si, conformément à ce qu’exposent la République hellénique et la Commission, un déficit d’information au préjudice de la personne concernée par les données est identifié. Pour expliquer ce point, il convient de rappeler que les articles 10 et 11 de la directive 95/46 prévoient l’obligation de notification à l’intéressé et l’obligation de lui demander un certain nombre de références et/ou d’autorisations, parmi lesquelles figure l’information relative à la cession des données à des tiers. Cette obligation est formulée dans des termes vagues qui laissent une vaste marge de manœuvre à chaque État membre. La manière dont chaque ordre juridique national configure ces obligations conditionne la réponse dans une affaire telle que celle en l’espèce. Rien ne s’oppose à ce qu’une personne qui n’a pas été informée, préalablement à la cession, de l’identité du destinataire des données ou des délais d’exercice du droit d’accès bénéficie d’un degré de protection élevé ( 44 ). Ce corollaire est conforme à la primauté que la directive attribue au droit subjectif de la personne concernée par les données, dont la limitation doit s’effectuer de sorte que, une fois la suppression des données réalisée, son exercice soit garanti.

57.

Dans certains cas, si l’on applique cette théorie, le processus aboutit à une solution impossible à exécuter. Si le College a détruit d’office toutes les données relatives à M. Rijkeboer antérieures à l’année précédente, la réclamation de l’intéressé pourrait n’aboutir à rien. Il est évident que la ville de Rotterdam n’est pas en mesure de donner ce qu’elle ne possède plus. Il est possible que cet inconvénient s’étende à d’autres ordres juridiques nationaux, mais uniquement durant un temps limité, qui correspond à la durée nécessaire à l’adaptation de la législation non conforme au droit communautaire. Mais, dans l’intervalle, l’intéressé conserve une possibilité, celle de la responsabilité patrimoniale de l’État résultant du non-respect de ses obligations communautaires. En l’absence d’une exécution qui satisfasse pleinement l’individu, ces règles permettent au moins un dédommagement pécuniaire, dont les juridictions nationales sont chargées de la reconnaissance ( 45 ).

58.

En définitive, pour reprendre une expression américaine, la présente affaire doit être résolue avec un «hard look» sur la proportionnalité ( 46 ) si le Raad van State constate l’existence de déficits d’information dans l’affaire au principal. Dans ce cas, il est indispensable que le délai de suppression des données n’opère pas automatiquement comme une barrière au droit d’accès. Le contrôle de proportionnalité doit être effectué à son degré de protection maximal, ce qui rendrait difficile l’acceptation d’un délai aussi court que celui d’une année.

59.

Dans ce contexte, je me rallie à ceux qui conçoivent la suppression des données et l’accès à celles-ci comme des éléments d’une seule et même réalité, qui sont donc unis au niveau de la configuration de leurs délais. La suppression des données prévue à l’article 6 de la directive 95/46 concerne tous les éléments informatifs, y compris les cessions à des tiers. Par conséquent, la limite temporelle pour la suppression fonctionne également, de manière indirecte, comme un délai pour déterminer la durée du droit d’accès. Le fait de procéder à une distinction des catégories de données pour l’accès revient à créer une distinction qui n’existe pas dans la directive 95/46 et qui, de plus, présente une efficacité pratique qui n’apparaît pas évidente ( 47 ).

60.

Des exceptions sont possibles lorsqu’il existe un déficit de transparence dans la communication de ses droits à l’intéressé. Dans ce cas, le délai de suppression des données doit être prolongé afin de préserver le droit d’accès.

C — Le délai d’un an et le principe de proportionnalité

61.

La législation néerlandaise prévoit un régime spécifique pour le traitement de données réalisé par les communes, dans le cadre duquel ressort, en ce qui concerne la présente affaire, le délai général d’un an pour la destruction des données. J’ai déjà exposé les raisons pour lesquelles il convient de considérer cette période conjointement, aussi bien aux fins de l’article 6 qu’à celles de l’article 12 de la directive 95/46. À présent, il convient de déterminer la compatibilité entre ce délai et le principe de proportionnalité, dont l’applicabilité est induite par lesdits articles, puisque tous deux confèrent un sens à un droit fondamental.

62.

Les gouvernements du Royaume-Uni, espagnol et tchèque ont consacré tous leurs efforts à la justification des difficultés que présente la garantie du droit d’accès lorsque les données ont été effacées. C’est pourquoi ils ont prêté peu d’attention au délai en question. En revanche, les observations du gouvernement hellénique et du College s’intéressent aux implications du délai néerlandais, à la lumière de la directive 95/46 et du principe de proportionnalité. Selon la République hellénique et la Commission, cette durée s’avère excessivement courte et, par conséquent, inconciliable avec l’ordre juridique communautaire. Le College milite en faveur de la légalité de ce délai en invoquant les particularités du système néerlandais qui compense la brièveté du délai par d’autres précautions visant à protéger la personne concernée par les données.

63.

Préalablement à l’examen de la proportionnalité du délai national, il convient de rappeler certaines règles, puisque la Cour a, en d’autres occasions, examiné des délais semblables. La jurisprudence fait apparaître une approche variable, dépendant du contexte de chaque affaire. Elle exerce un contrôle plus ou moins intense en fonction des circonstances ( 48 ). Dans le cas d’une atteinte éventuelle à des droits fondamentaux, l’examen du délai pour l’exercice de ces droits doit être effectué scrupuleusement ( 49 ). Pour autant, ce contrôle dépend de plusieurs facteurs.

64.

Comme je l’ai indiqué aux points 55 à 60 des présentes conclusions, il convient d’évaluer le niveau d’information dont a bénéficié la personne concernée par les données durant leur traitement. À cet égard, on peut mentionner les critères suivants.

65.

Conformément aux articles 10 et 11 de la directive, l’intéressé dispose du droit à ce qu’une série d’informations lui soient communiquées, parmi lesquelles ressort l’identité des «destinataires ou [d]es catégories de destinataires des données, […] dans la mesure où, compte tenu des circonstances particulières dans lesquelles les données sont collectées, ces informations supplémentaires sont nécessaires pour assurer […] un traitement loyal des données». Les deux articles effectuent une différenciation entre les informations obtenues auprès de la personne concernée elle-même et celles qui ont une autre origine, même si, dans les deux cas de figure, des informations doivent être fournies sur les cessions de données à des tiers.

66.

Le législateur national dispose d’une marge de manœuvre étendue en ce qui concerne la mise en œuvre de l’obligation prévue aux articles 10 et 11 de la directive 95/46, mais ces dispositions ont pour objectif d’informer l’intéressé du fait que les données le concernant ont été cédées, afin de lui donner la possibilité, s’il le souhaite, d’accéder au traitement de données et de contrôler sa conformité aux principes de l’article 6 de la directive 95/46. Cependant, les informations varient en fonction du contexte et il appartient à la juridiction de renvoi de vérifier si l’ordre juridique néerlandais ainsi que la pratique correspondante de la municipalité respectent les dispositions des articles 10 et 11. Il convient de déterminer si M. Rijkeboer a été averti des cessions de données et s’il a été informé de la période d’une année dont il disposait pour faire valoir son droit d’accès. Les États membres ne sont pas obligés de notifier le délai, car les articles 10 et 11 ne le prévoient pas ( 50 ). Toutefois, dans le cadre de l’appréciation de sa durée, il est très important de vérifier si la personne concernée a été informée de ce détail. Si tel n’est pas le cas, il est difficile d’admettre qu’une période aussi brève qu’une période d’un an soit, en l’absence d’explications complémentaires du responsable du traitement, conforme au principe de proportionnalité et donc à la directive 95/46.

67.

De même, la nature des informations transmises revêt une importance particulière, car, comme le reconnaît la directive, les données qui doivent être notifiées peuvent comprendre l’identité des destinataires, mais également les «catégories de destinataires». Cette deuxième option implique que les listes fournies n’indiquent pas toujours qui a accédé aux fichiers et l’intéressé se retrouve donc dans une situation désavantageuse dans le cadre de l’exercice du droit d’accès. Il appartient au juge national de déterminer dans quelle mesure et dans quels termes les cessionnaires ont informé M. Rijkeboer. Dans le cadre de cet examen, le contrôle relatif au délai doit être approfondi lorsque l’identité des tiers n’a pas été fournie, car la personne concernée par les données est en droit de redouter que le traitement ne soit pas conforme aux principes de l’article 6.

68.

Finalement, il conviendrait de fixer quelques règles en ce qui concerne la charge de la preuve. M. Rijkeboer, en tant que titulaire d’un droit fondamental, a dû recourir à la voie judiciaire pour connaître le traitement réservé aux données le concernant ( 51 ). La conformité à la directive 95/46 dépend d’une série d’éléments casuistiques, qui découlent de la loi nationale elle-même et des pratiques de l’administration communale. En invoquant son droit fondamental, M. Rijkeboer doit inéluctablement emprunter la voie juridictionnelle, mais il ne devrait pas avoir à démontrer les insuffisances de l’ordre juridique de son propre pays en la matière, car le libellé de la directive 95/46 incite à penser, conformément à ce que j’expose aux points 29 à 35 des présentes conclusions, que le droit d’accès présente un caractère prioritaire et que toute exception doit être examinée avec beaucoup de prudence. Ainsi, eu égard à la primauté de la dimension subjective des règles communautaires relatives à la protection des données, il appartient au responsable de ces données de prouver que le cadre juridique et les pratiques du traitement de données offrent des garanties qui justifient un délai aussi court qu’un délai d’un an pour exercer le droit prévu à l’article 12 de la directive 95/46.

69.

Dans ses observations déposées dans le cadre de la présente procédure préjudicielle, le College a fourni quelques indices à ce sujet. La législation nationale instaure un système de freins et de contrepoids («checks and balances» suivant la terminologie utilisée par le College) qui harmonise le droit d’accès en prévoyant certaines garanties telles que des limitations en ce qui concerne les destinataires, le lien, dans des cas spécifiques, à des objectifs particuliers, l’autorisation préalable de l’intéressé ou un mécanisme de contrôle dont est chargée une autorité indépendante. De plus, conformément à ce qu’expose le College, l’intéressé se voit notifier le délai d’un an, aussi bien individuellement que collectivement (sur internet et dans des avis aux habitants) ( 52 ).

70.

Je suis conscient des répercussions que la présente affaire peut avoir pour les responsables de fichiers relevant de la directive 95/46. Cependant, le caractère prééminent de la protection de l’individu m’incite à concilier la défense de ses droits avec la gestion efficace des fichiers. Par conséquent, les articles 6 et 12 de la directive 95/46 devraient être interprétés en ce sens qu’ils sont incompatibles avec le délai d’un an prévu pour l’exercice du droit d’accès au traitement dès lors que:

l’intéressé n’a pas été informé de la cession;

ou, l’intéressé ayant été informé de la cession, la durée du délai ne lui pas été notifiée;

ou, l’intéressé ayant été informé de la cession, il n’a pas été informé à suffisance de l’identité des cessionnaires.

71.

Un droit fondamental étant en jeu, le College doit prouver que les règles nationales et la pratique administrative garantissent un niveau adéquat d’information de l’intéressé, qui lui permette d’exercer son droit d’accès sans contrainte.

72.

Il appartient au Raad van State, à la lumière des critères présentés et des éléments de droit et de fait exposés aussi bien dans la présente procédure préjudicielle que dans le litige au principal, d’appliquer les articles 6 et 12 de la directive 95/46 conformément à ce que j’indique aux points 70 et 71 des présentes conclusions.

X — Conclusion

73.

Eu égard aux considérations qui précèdent, je suggère à la Cour de répondre à la question préjudicielle du Nederlandse Raad van State comme suit:

«Les informations relatives au traitement de données, y compris celles qui se rapportent aux transferts à des tiers, constituent des données personnelles au sens de l’article 2, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. En vue de garantir l’effet utile de la directive 95/46, le délai de suppression applicable aux données relatives au traitement est identique à celui prévu pour les données personnelles, sans préjudice des droits et des obligations que ladite directive confère aux tiers cessionnaires de ces données.

Les articles 6 et 12 de la directive 95/46 s’opposent à un délai d’un an pour exercer le droit d’accès au traitement, dès lors que:

l’intéressé n’a pas été informé de la cession;

ou, l’intéressé ayant été informé de la cession, la durée du délai ne lui pas été notifiée;

ou, l’intéressé ayant été informé de la cession, il n’a pas été informé à suffisance de l’identité des cessionnaires.

Il appartient au responsable du traitement de prouver que les règles nationales et la pratique administrative garantissent un niveau adéquat d’information de l’intéressé, qui lui permet d’exercer son droit d’accès sans contrainte.»


( 1 ) Langue originale: l’espagnol.

( 2 ) Directive du Parlement européen et du Conseil, du 24 octobre 1995 (JO L 281, p. 31).

( 3 ) Tout comme la conservation des données traitées de manière licite ou non, la récupération de la mémoire constitue un travail délicat. La question de la suppression des traces du passé doit être abordée avec précaution, comme le réclamait Proust en célébrant le pouvoir évocateur du souvenir, car «[l]es lieux que nous avons connus n’appartiennent pas qu’au monde de l’espace où nous les situons pour plus de facilité. Ils n’étaient qu’une mince tranche au milieu d’impressions contiguës qui formaient notre vie d’alors; le souvenir d’une certaine image n’est que le regret d’un certain instant; et les maisons, les routes, les avenues sont fugitives, hélas, comme les années».  Marcel Proust, À la recherche du temps perdu, Du côté de chez Swann, Gallimard, La Pléiade, Paris 1987, tome I, p. 419 et 420.

( 4 ) Arrêts du 23 avril 1986, Les Verts/Parlement (294/83, Rec. p. 1339, point 23), et du , Kadi et Al Barakaat International Foundation/Conseil et Commission (C-402/05 P et C-415/05 P, Rec. p. I-6351, point 281).

( 5 ) Arrêt du 12 novembre 1969, Stauder (29/69, Rec. p. 419, point 7).

( 6 ) Précité note 5.

( 7 ) Arrêt du 17 décembre 1970 (11/70, Rec. p. 1125).

( 8 ) Arrêts du 14 mai 1974, Nold/Commission (4/73, Rec. p. 491), et du , Johnston (222/84, Rec. p. 1651, point 18).

( 9 ) Précité note 5.

( 10 ) Arrêt du 7 novembre 1985, Adams/Commission (145/83, Rec. p. 3539, point 34).

( 11 ) Arrêt du 7 octobre 1987, Strack/Commission (140/86, Rec. p. 3939, points 9 à 11).

( 12 ) Arrêt du 8 avril 1992, Commission/Allemagne (C-62/90, Rec. p. I-2575, point 23).

( 13 ) Arrêt du 5 octobre 1994, X/Commission (C-404/92 P, Rec. p. I-4737, points 17 et 18).

( 14 ) Arrêts du 21 septembre 1989, Hoechst/Commission (46/87 et 227/88, Rec. p. 2859), et du , Roquette Frères (C-94/00, Rec. p. I-9011).

( 15 ) Arrêts du 11 juillet 2002, Carpenter (C-60/00, Rec. p. I-6279, point 38), et du , MRAX (C-459/99, Rec. p. I-6591, point 53).

( 16 ) Articles 1er à 3 de la directive 95/46.

( 17 ) Article 2 de la directive 95/46.

( 18 ) Articles 10 à 24 de la directive 95/46.

( 19 ) «[c]onsidérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la CEDH et dans les principes généraux du droit communautaire; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté».

( 20 ) Arrêt du 20 mai 2003 (C-465/00, C-138/01 et C-139/01, Rec. p. I-4989, point 70). En ce sens, l’avocat général Tizzano soutient, dans ses conclusions, que l’objectif primaire de la directive 95/46 est la libre circulation des données à caractère personnel et non pas la protection des droits fondamentaux. La Cour a rejeté ce point de vue et consacré une position protectrice de la personne concernée par les données. Cette thèse a ensuite été ratifiée par l’arrêt du , Lindqvist (C-101/01, Rec. p. I-12971, point 96), qui déclare que la directive 95/46 entend assurer la libre circulation des données à caractère personnel, tout en garantissant un haut niveau de protection des droits et des intérêts des personnes visées par ces données.

( 21 ) Guichot, E., Datos personales y Administración Pública, Éd. Civitas, Madrid, 2005, p. 43 à 47.

( 22 ) Proclamée solennellement par le Parlement européen, le Conseil et la Commission le 7 décembre 2000 (JO C 364, p. 1 et suiv.).

( 23 ) Il ne fait pas de doute que, même s’il ne fait pas partie de l’ordre juridique communautaire actuellement en vigueur, cet instrument produit des effets en tant que règle de «soft law». En ce qui concerne la charte et ses effets juridiques, je renvoie aux points 78 et 79 de mes conclusions du 12 septembre 2006 dans l’affaire Advocaten voor de Wereld, dans laquelle a été rendu l’arrêt du (C-303/05, Rec. p. I-3633).

( 24 ) Alonso García, R., The General Provisions of the Charter of Fundamental Rights of the European Union, Harvard Jean Monnet Working Paper no 4/02, p. 22 et 23.

( 25 ) La communication au Parlement européen et au Conseil sur le suivi du programme de travail pour une meilleure mise en application de la directive sur la protection des données, qui a été adoptée par la Commission le 7 mars 2007 [COM(2007) 87 final, p. 5], confirme que tous les États membres ont transposé la directive 95/46.

( 26 ) La technique de mise en balance des intérêts est très utilisée par la Cour dans le cadre d’affaires relatives à des droits fondamentaux. Dans le domaine de la protection des données, les arrêts Lindqvist (précité, point 82) et du 29 janvier 2008, Promusicae (C-275/06, Rec. p. I-271, point 66), sont significatifs. Groussot, X., «Commentaire de l’arrêt Promusicae», Common Market Law Review, no 6, vol. 45, 2008, analyse cette mise en balance.

( 27 ) Arrêt précité note 20.

( 28 ) Arrêt précité note 26.

( 29 ) Outre les arrêts Lindqvist et Promusicae, je renvoie également aux conclusions de l’avocat général Kokott, du 8 mai 2008, dans l’affaire Satakunnan Markkinapörssi et Satamedia (arrêt du , C-73/07, Rec. p. I-9831), dont les points 99 à 105 expliquent la manière suivant laquelle la Cour procède à la mise en balance dans le domaine qui nous intéresse en l’espèce.

( 30 ) En conformité avec l’article 6 de la directive 95/46, l’article 12 de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (JO L 201, p. 37), prévoit également la suppression de données, bien que dans des termes moins contraignants et sur demande de l’intéressé.

( 31 ) C’est moi qui souligne.

( 32 ) Adjectifs employés par l’article 6, paragraphe 1, de la directive 95/46.

( 33 ) The New Encyclopaedia Britannica, vol. 12, Chicago, Londres, Toronto, Genève, Sydney, Tokyo, Manille, Séoul, 1973, p. 24.

( 34 ) Hawking, S., A Brief History of Time, Éd. Bantam, New York, 1998, p. 193, penche pour l’œuf. Cette affirmation entraîne d’évidentes conséquences théologiques qu’il ne convient naturellement pas d’exposer ici.

( 35 ) C’est ce que soutiennent Herrán Ortiz, A. I., El derecho a la intimidad en la nueva Ley Orgánica de protección de datos personales, Éd. Dykinson, Madrid, 2002, p. 153, et Arenas Ramiro, M., El derecho fundamental a la protección de datos personales en Europa, Éd. Tirant lo Blanch, Valencia, 2006, p. 305.

( 36 ) La directive 95/46 se propose d’aller au-delà de la convention no 108 du Conseil de l’Europe, du 28 janvier 1981, pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel. C’est ce qui ressort de son onzième considérant, qui expose que «les principes de la protection des droits et des libertés des personnes, notamment du droit à la vie privée, contenus dans la présente directive précisent et amplifient ceux qui sont contenus dans la convention, du , du Conseil de l’Europe […]» (c’est moi qui souligne). La preuve en est le contenu du texte communautaire qui, sur certaines questions, va plus loin que la convention no 108, et ce de manière particulièrement significative en ce qui concerne la définition du droit d’accès. Selon la directive 95/46, ce droit s’exerce «sans contrainte», alors que l’article 8 de la convention no 108 se contente de proclamer un droit d’accès «à des intervalles raisonnables». La réglementation communautaire a pour ambition d’étendre le droit d’accès et c’est pourquoi elle le consacre en des termes nettement plus généreux que ceux de la convention du Conseil de l’Europe, en rappelant l’orientation protectrice de l’individu de la directive 95/46.

( 37 ) Arrêts du 27 juin 2006, Parlement/Conseil (C-540/03, Rec. p. I-5769, point 38); du , Unibet (C-432/05, Rec. p. I-2271, point 37); Advocaten voor de Wereld (précité note 23, point 46), et Kadi et Al Barakaat International Foundation/Conseil et Commission (précité, point 335).

( 38 ) Différenciation défendue par la Commission dans ses observations (points 31 et 32).

( 39 ) L’article 12 de la directive 95/46, bien qu’il énumère des aspects relatifs à l’accès, s’intéresse à d’autres questions liées au traitement et non pas aux données. Cette observation permet de constater que, en ce qui concerne les données, le droit d’accès est illimité. En revanche, le traitement constitue une question différente, ce qui montre que les rédacteurs de la directive 95/46 ont été sensibles aux difficultés intrinsèques d’une compréhension globale de l’article 12.

( 40 ) L’article 6, paragraphe 1, sous e), apporte une nuance à l’obligation de suppression: «Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques». Bien que cette disposition ne soit pas ouvertement rédigée comme une exception à l’obligation de suppression, la directive dispense de cette obligation les prestataires des activités d’intérêt général mentionnées, même si les dispositions européennes restent applicables, car ces dernières doivent s’adapter aux particularités de la recherche historique, statistique et scientifique.

( 41 ) La version française («sont traitées» ou «sont communiquées») et la version allemande («an die Daten übermittelt werden») coïncident avec la version anglaise.

( 42 ) Contrairement au College, je ne considère pas que le règlement (CE) no 45/2001 du Parlement européen et du Conseil, du 18 décembre 2000, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données (JO 2001, L 8, p. 1), qui prévoit l’obligation de fixer un délai de conservation, puisse conduire à une interprétation correcte des articles 6 et 12. Ce règlement constitue la traduction légale de la directive 95/46 dans son application aux institutions communautaires. Il est logique que son contenu soit plus détaillé que celui de l’instrument d’harmonisation adressé aux États membres. La mention de ce délai, qui figure aux articles 11 et 12 du règlement, ne signifie pas que la directive 95/46 vise un effet contraire et l’impose aux États membres. Considéré dans son ensemble, le silence de la directive témoigne seulement de la marge d’appréciation dont dispose chaque ordre juridique national, ce qui n’implique pas que tout délai soit admissible ou qu’il puisse limiter le droit d’accès.

( 43 ) Observations du Royaume d’Espagne (point 25).

( 44 ) Bainbridge, D., EC Data Protection Directive, Éd. Butterworths, Londres-Dublin-Édimbourg, 1996, p. 139, plaide en faveur de cette interprétation des articles 10 et 11.

( 45 ) Il convient de rappeler que l’article 23, paragraphe 1, de la directive 95/46, qui est consacré à la responsabilité en cas de violation des dispositions de la directive, dispose que «[l]es États membres prévoient que toute personne ayant subi un dommage du fait d’un traitement illicite ou de toute action incompatible avec les dispositions nationales prises en application de la présente directive a le droit d’obtenir du responsable du traitement réparation du préjudice subi».

( 46 ) Suivant cette théorie, une juridiction accentue le contrôle des décisions des pouvoirs publics lorsque aucun fondement solide justifiant celles-ci n’est identifiable. Cette théorie trouve son origine dans un arrêt de la Cour suprême des États-Unis, SEC v. Chenery Corp. [318 U.S. 80 (1943)], qui a ensuite été développé par l’arrêt Citizens to Preserve Overton Park v. Volpe [401 U.S. 402 (1971)]. Voir également Breyer, S. G., Stewart, R. B., Sunstein, C. R., et Vermeule, A., Administrative Law and Regulatory Policy, Éd. Aspen, New York, 2006, p. 349 à 368. En ce qui concerne le «hard look» dans le domaine du contrôle juridictionnel communautaire, aussi bien européen que national, voir Craig, P., EU Administrative Law, Éd. Oxford University Press, 2006, p. 477 à 481.

( 47 ) Malgré ces complications techniques, le Royaume-Uni a souligné, au cours de l’audience, qu’il existe des cas expressément prévus par son ordre juridique interne dans lesquels le droit d’accès aux données relatives au traitement est garanti y compris après la suppression des données à caractère personnel. Toutefois, l’agent du gouvernement du Royaume-Uni n’a pas fourni davantage de détails sur ce point, même s’il a insisté sur le caractère exceptionnel de cette pratique. Par conséquent, je penche pour la prudence. De plus, je considère que, si la directive 95/46 avait accepté ce cas de figure, elle l’aurait fait expressément.

( 48 ) Arrêts du 24 mars 1987, McDermott et Cotter (286/85, Rec. p. 1453, point 15); du , Emmott (C-208/90, Rec. p. I-4269, point 18); du , Steenhorst-Neerings (C-338/91, Rec. p. I-5475, point 19); du , Johnson (C-410/92, Rec. p. I-5483, point 26); du , Spac (C-260/96, Rec. p. I-4997, point 32), et Ansaldo Energia e.a. (C-279/96 à C-281/96, Rec. p. I-5025, points 19 à 21), et du , Grundig Italiana (C-255/00, Rec. p. I-8003, point 37).

( 49 ) Les arrêts du 13 juillet 1989, Wachauf (5/88, Rec. p. 2609, points 17 à 22); du , Booker Aquaculture et Hydro Seafood (C-20/00 et C-64/00, Rec. p. I-7411, points 88 à 93), et du , Mangold (C-144/04, Rec. p. I-9981, point 75), se prononcent sur le contrôle des régimes nationaux à l’aune des droits fondamentaux communautaires.

( 50 ) Contrairement au règlement no 45/2001, dont les articles 11, paragraphe 1, sous f), ii), et 12, paragraphe 1, sous f), ii), obligent les institutions à informer l’intéressé des délais de conservation des données.

( 51 ) Bien que, contrairement à d’autres instruments de droit dérivé (tels que la directive 2000/78/CE du Conseil, du 27 novembre 2000, portant création d’un cadre général en faveur de l’égalité de traitement en matière d’emploi et de travail, JO L 303, p. 16), la directive 95/46 ne se prononce pas sur cette question, je crois que, comme des droits fondamentaux sont concernés, les règles relatives à la preuve doivent être celles des principes généraux du droit communautaire.

( 52 ) Observations du College (points 65 à 70).

Top