1. Par ordonnance du 23 février 2001, le Göta hovrätt (Suède) a posé à la Cour sept questions préjudicielles sur l’interprétation
de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques
à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
(2)
(ci-après la «directive 95/46» ou tout simplement la «directive»). Ces questions concernent en particulier le champ d’application
de la directive, le transfert de données à caractère personnel vers des pays tiers, la compatibilité de la directive avec
les principes généraux en matière de liberté d’expression et la possibilité de prévoir sur le plan national un régime plus
restrictif que le régime communautaire.
Cadre normatifLa convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales
2. Afin de tracer le cadre juridique pertinent aux fins de la présente procédure, il convient avant tout de rappeler les dispositions
des articles 8 et 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.
3. Le premier de ces articles dispose en particulier:
« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.
2. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est
prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale,
à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales,
à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »
4. Le second dispose quant à lui:
« 1. Toute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou
de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération
de frontière. Le présent article n’empêche pas les États de soumettre les entreprises de radiodiffusion, de cinéma ou de télévision
à un régime d’autorisations.
2. L’exercice de ces libertés comportant des devoirs et des responsabilités peut être soumis à certaines formalités, conditions,
restrictions ou sanctions prévues par la loi, qui constituent des mesures nécessaires, dans une société démocratique, à la
sécurité nationale, à l’intégrité territoriale ou à la sûreté publique, à la défense de l’ordre et à la prévention du crime,
à la protection de la santé ou de la morale, à la protection de la réputation ou des droits d’autrui, pour empêcher la divulgation
d’informations confidentielles ou pour garantir l’autorité et l’impartialité du pouvoir judiciaire. »
La directive 95/46
5. L’instrument qui entre en ligne de compte sur le plan communautaire est la directive 95/46, adoptée sur la base de l’article 100 A
du traité CE (devenu, après modification, article 95 CE) pour favoriser la libre circulation des données à caractère personnel
grâce à l’harmonisation des dispositions législatives, réglementaires et administratives des États membres sur la protection
des personnes physiques à l’égard du traitement de ces données.
6. La directive repose sur l’idée que «les différences entre États membres quant au niveau de protection des droits et libertés
des personnes, notamment du droit à la vie privée, à l’égard des traitements de données à caractère personnel peuvent empêcher
la transmission de ces données du territoire d’un État membre à celui d’un autre État membre» et «que ces différences peuvent
dès lors constituer un obstacle à l’exercice d’une série d’activités économiques à l’échelle communautaire, fausser la concurrence
et empêcher les administrations de s’acquitter des responsabilités qui leur incombent en vertu du droit communautaire» (septième
considérant). Le législateur communautaire a estimé par conséquent «que, pour éliminer les obstacles à la circulation des
données à caractère personnel, le niveau de protection des droits et libertés des personnes à l’égard du traitement de ces
données [devait] être équivalent dans tous les États membres». Pour ce faire, il a jugé qu’une mesure d’harmonisation sur
le plan communautaire était nécessaire étant donné que l’objectif de la libre circulation des données à caractère personnel,
«fondamental pour le marché intérieur, ne [pouvait] pas être atteint par la seule action des États membres, compte tenu en
particulier de l’ampleur des divergences qui [existaient] [...] entre les législations nationales applicables en la matière
et de la nécessité de coordonner les législations des États membres pour que le flux transfrontalier de données à caractère
personnel soit réglementé d’une manière cohérente et conforme à l’objectif du marché intérieur au sens de l’article 7 A du
traité» (huitième considérant). En revanche, après l’adoption d’une mesure d’harmonisation, «du fait de la protection équivalente
résultant du rapprochement des législations nationales, les États membres ne [pourraient] plus faire obstacle à la libre circulation
entre eux de données à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes,
notamment du droit à la vie privée» (neuvième considérant).
7. Cela étant, le législateur communautaire a considéré que, pour déterminer un niveau de protection «équivalent dans tous les
États membres», il fallait tenir compte de la nécessité de sauvegarder «les droits fondamentaux des personnes» (troisième
considérant). Ainsi, il a considéré en particulier «que l’objet des législations nationales relatives au traitement des données
à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu
également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et
dans les principes généraux du droit communautaire». Dès lors, il a estimé que «le rapprochement de ces législations ne [devait]
pas conduire à affaiblir la protection qu’elles assurent mais [devait], au contraire, avoir pour objectif de garantir un niveau
élevé de protection dans la Communauté» (dixième considérant).
8. C’est à la lumière de ces prémisses et de ces motifs qu’il convient par conséquent de lire l’article 1 er de la directive, qui en définit l’objet comme suit:
« 1. Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des
personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.
2. Les États membres ne peuvent restreindre ni interdire la libre circulation des données à caractère personnel entre États
membres pour des raisons relatives à la protection assurée en vertu du paragraphe 1. »
9. En ce qui concerne les principales définitions figurant à l’article 2 de la directive, il y a lieu en l’espèce de rappeler
que:
a) par «données à caractère personnel» on entend «toute information concernant une personne physique identifiée ou identifiable
(personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment
par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique,
psychique, économique, culturelle ou sociale»;
b) par «traitement de données à caractère personnel» on entend «toute opération ou ensemble d’opérations effectuées ou non
à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement,
l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication
par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le
verrouillage, l’effacement ou la destruction»;
c) par «fichier de données à caractère personnel» on entend «tout ensemble structuré de données à caractère personnel accessibles
selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique»;
d) par «responsable du traitement» on entend «la personne physique ou morale, l’autorité publique, le service ou tout autre
organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère
personnel».
10. L’article 3 définit le champ d’application de la directive en précisant, au paragraphe 1, qu’elle «s’applique au traitement
de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère
personnel contenues ou appelées à figurer dans un fichier». Aux termes du paragraphe 2, le traitement de données à caractère
personnel:
–
«mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles
prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la
sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont
liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal»,
–
ou «effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques»
(3)
est toutefois exclu du champ d’application de la directive.
11. Il y a lieu en outre de rappeler en l’espèce certaines dispositions du chapitre II de la directive ( «Conditions générales
de licéité des traitements de données à caractère personnel»), en commençant par l’article 7 qui porte sur les cas dans lesquels
le traitement de données à caractère personnel peut être effectué. À cet égard, il y a lieu de signaler en particulier que,
outre d’autres hypothèses non pertinentes en l’espèce, il est indiqué sous a) qu’un tel traitement peut être effectué si
«la personne concernée a indubitablement donné son consentement».
12. L’article 8 instaure quant à lui un régime spécial pour certaines catégories de données sensibles. Le paragraphe 1 prévoit
en particulier qu’en principe les «États membres interdisent le traitement des données à caractère personnel qui révèlent
l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale,
ainsi que le traitement des données relatives à la santé et à la vie sexuelle». Parmi d’autres exceptions non pertinentes
en l’espèce, le paragraphe 2 précise cependant que cette disposition ne s’applique pas lorsque «la personne concernée a donné
son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction
visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée».
13. Pour concilier les exigences de la protection à l’égard du traitement de données à caractère personnel et le principe de la
liberté d’expression, l’article 9 dispose ensuite que les «États membres prévoient, pour les traitements de données à caractère
personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations
au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le
droit à la vie privée avec les règles régissant la liberté d’expression».
14. Toujours en ce qui concerne les «conditions générales de licéité des traitements de données à caractère personnel», il convient
en outre de rappeler en l’espèce que, en vertu de l’article 18 et sauf exception, les traitements de données à caractère personnel
doivent faire l’objet d’une notification préalable par leurs responsables auprès d’autorités de contrôle spécialement créées
par les États membres.
15. Nous citerons enfin l’article 25 de la directive, aux termes duquel «le transfert vers un pays tiers de données à caractère
personnel faisant l’objet d’un traitement, ou destinées à faire l’objet d’un traitement après leur transfert, ne peut avoir
lieu que si [...] le pays tiers en question assure un niveau de protection adéquat» (paragraphe 1). Le caractère adéquat du
niveau de protection «s’apprécie au regard de toutes les circonstances relatives à un transfert ou à une catégorie de transferts
de données; en particulier, sont prises en considération la nature des données, la finalité et la durée du ou des traitements
envisagés, les pays d’origine et de destination finale, les règles de droit, générales ou sectorielles, en vigueur dans le
pays tiers en cause, ainsi que les règles professionnelles et les mesures de sécurité qui y sont respectées» (paragraphe 2).
La législation suédoise
16. Le royaume de Suède a transposé la directive 95/46 par la Personuppgiftslag
(4)
(loi sur les données à caractère personnel). Aux fins de la présente espèce, il y a lieu de souligner en particulier que,
aux termes de l’article 49, paragraphe 1, sous b) à d), de cette loi, sont réprimés pénalement en Suède: la non-communication
d’un traitement automatisé de données à l’autorité de contrôle compétente (la Datainspektion), le traitement de données sensibles,
telles les données concernant la santé, et le transfert non autorisé vers des pays tiers de données à caractère personnel
faisant l’objet d’un traitement. Il est à relever en outre qu’il ressort des travaux préparatoires de la Personuppgiftslag
que cette loi n’est pas destinée à avoir un champ d’application différent de celui de la directive.
Faits et procédure
17.À l’automne 1998, en dehors de son emploi habituel, M me Lindqvist travaillait à titre bénévole comme catéchiste dans la paroisse d’Alseda en Suède. Dans le cadre de cette activité,
pour permettre aux paroissiens d’obtenir facilement les informations dont ils pouvaient avoir besoin, M me Lindqvist a créé une page d’accueil sur Internet, en y insérant certaines données sur elle-même, sur son mari et sur seize
collègues de la paroisse identifiés, selon le cas, soit par leur seul prénom, soit également par leur nom. Plus précisément,
les fonctions occupées par ses collègues et leurs loisirs étaient décrits en termes légèrement humoristiques sur la page d’accueil;
dans certains cas, leur situation de famille, leur numéro de téléphone et d’autres informations personnelles étaient également
indiqués. Parmi les diverses informations fournies, il était mentionné en particulier, pour ce qui nous intéresse, qu’une
collègue se trouvait en congé de maladie partiel à cause d’une blessure au pied. Il était également possible d’accéder à cette
page d’accueil à partir du site Internet de l’Église de Suède sur lequel un lien avait été inséré à la demande de M me Lindqvist.
18. M me Lindqvist n’avait pas informé ses collègues de l’existence de la page d’accueil, lesquels n’avaient par conséquent pas consenti
au traitement de leurs données. La Datainspektion n’avait pas non plus été informée de la création de la page d’accueil et
aucun traitement de données à caractère personnel ne lui avait été notifié. L’existence de la page d’accueil a toutefois été
brève, M me Lindqvist l’ayant supprimée dès qu’elle a eu connaissance du fait que certains de ses collègues n’appréciaient pas son initiative.
19. Du fait de la création de la page d’accueil et malgré sa suppression en temps opportun, M me Lindqvist a fait l’objet de poursuites pénales en Suède en application de l’article 49, paragraphe 1, sous b) à d), de la
Personuppgiftslag. Dans le cadre de ces poursuites, il lui a été reproché en particulier d’avoir traité des données à caractère
personnel, dans le cadre d’un traitement automatisé, sans faire de déclaration écrite préalable auprès de la Datainspektion,
d’avoir traité des données sensibles, telles celles relatives à la blessure de sa collègue et au congé de maladie partiel
qui s’en est suivi et d’avoir transféré sans autorisation vers des pays tiers des données à caractère personnel faisant l’objet
d’un traitement.
20. M me Lindqvist a reconnu les circonstances de fait exposées par le ministère public, mais a nié s’être rendue responsable d’une
infraction. Ses arguments ont toutefois été rejetés par le juge saisi, qui l’a condamnée au paiement d’une amende par un jugement
dont M me Lindqvist a ensuite fait appel devant le Göta hovrätt.
21. Eu égard au fait que la compatibilité de la législation suédoise avec les dispositions de la directive avait été contestée
au cours de la procédure et que de délicates questions d’interprétation de ces dispositions avait été soulevées, le Göta hovrätt
a par conséquent sursis à statuer pour déférer à la Cour de justice les questions préjudicielles suivantes:
« 1)
La mention d’une personne ─ par son nom ou par son nom et son numéro de téléphone ─ sur une page d’accueil sur Internet est-elle
une opération qui relève du champ d’application de la directive? Le fait de faire figurer, sur une page d’accueil sur Internet
que l’on a soi-même construite, un certain nombre de personnes, ainsi que des affirmations et des déclarations sur les conditions
de travail et les passe-temps de ces personnes, constitue-t-il un ’traitement de données à caractère personnel, automatisé
en tout ou en partie‘?
2)
Au cas où la question précédente appellerait une réponse négative, le fait de créer, sur une page d’accueil sur Internet,
des pages spécifiques pour une bonne quinzaine de personnes, avec des liens entre les pages qui permettent une recherche par
prénom, peut-il être considéré comme constituant un ’traitement non automatisé de données à caractère personnel contenues
ou appelées à figurer dans un fichier au sens de l’article 3, paragraphe 1?
Si l’une des questions précédentes appelle une réponse affirmative, le hovrätt pose en outre les questions suivantes.
3)
Le fait d’insérer des données de ce type sur des collègues de travail sur une page d’accueil privée, qui est cependant accessible
à tous ceux qui connaissent l’adresse de la page, peut-il être considéré comme échappant au champ d’application de la directive
en vertu de l’une des exceptions figurant à l’article 3, paragraphe 2?
4)
L’indication, sur une page d’accueil, qu’un collègue de travail mentionné par son nom s’est blessé au pied et est en congé
de maladie partiel est-elle une donnée à caractère personnel relative à la santé qui, aux termes de l’article 8, paragraphe
1, ne peut faire l’objet d’un traitement?
5)
Le transfert de données à caractère personnel vers des pays tiers est interdit dans certains cas en vertu de la directive.
Si une personne insère, en Suède, à l’aide d’un ordinateur, des données à caractère personnel sur une page d’accueil qui est
stockée sur un serveur en Suède ─ de sorte que les données à caractère personnel deviennent accessibles à des ressortissants
de pays tiers ─, cela constitue-t-il un transfert de données vers des pays tiers au sens de la directive? La réponse reste-t-elle
la même si, selon les informations dont nous disposons, aucun ressortissant d’un pays tiers n’a en fait pris connaissance
des données ou si le serveur en question se trouve, d’un point de vue purement physique, dans un pays tiers?
6)
Les dispositions de la directive peuvent-elles, dans un cas comme celui de l’espèce, être considérées comme impliquant une
restriction contraire aux principes généraux de liberté d’expression ou à d’autres droits et libertés applicables dans l’Union
européenne et qui correspondent notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et
des libertés fondamentales?
Enfin, le hovrätt pose la question suivante.
7)
Un État membre peut-il, dans les domaines visés dans les questions qui précèdent, disposer d’une protection plus forte des
données à caractère personnel ou d’un champ d’application plus large que celui qui résulte de la directive, même lorsque l’on
ne se trouve pas en présence de l’un des intérêts mentionnés à l’article 13? »
22. Au cours de la procédure qui a ensuite été engagée devant la Cour, outre M me Lindqvist et le royaume de Suède, le royaume des Pays-Bas, le Royaume-Uni et la Commission ont présenté des observations.
Analyse juridiqueIntroduction
23. Comme nous l’avons vu, la juridiction de renvoi soumet à la Cour de nombreuses questions relatives au champ d’application
de la directive, à l’interprétation des articles 8 et 25, à la validité de ses dispositions par rapport aux principes généraux
du droit communautaire et à la possibilité pour les États membres d’assurer un niveau de protection plus élevé que celui qui
est garanti par la directive.
24. En ce qui concerne plus particulièrement le champ d’application de la directive, le juge de renvoi ne semble pas douter du
fait que l’on se trouve en l’occurrence en présence d’un « traitement de données à caractère personnel », ce qui n’a d’ailleurs été mis en doute par aucune des parties qui sont intervenues. De fait, il est manifeste:
–
d’une part, que les informations relatives aux collègues de M me Lindqvist (prénom, nom, numéro de téléphone, fonctions exercées, loisirs, etc.) constituent des « données à caractère personnel », «toute information concernant une personne physique identifiée ou identifiable» relevant de cette catégorie [article 2,
sous a)],
–
d’autre part, que le fait d’insérer des informations sur une page d’accueil du type de celle en cause donne lieu à un « traitement »des données à caractère personnel, étant donné qu’à cet égard aussi la directive retient une acception particulièrement large
qui recouvre «toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à
des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation
ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre
forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction»
[article 2, sous b)].
25. Cependant, tout « traitement de données à caractère personnel » ne rentre pas dans le champ d’application de la directive. L’article 3, paragraphe 1, dispose en effet que la directive
ne s’applique qu’au traitement de données à caractère personnel « automatisé en tout ou en partie » ou au traitement « non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». En termes plus généraux, en vertu du paragraphe 2 de cet article, la directive ne s’applique pas au traitement de données
à caractère personnel « mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire »
(5)
(premier tiret) et au traitement « effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques » (second tiret).
26. En ce qui concerne la délimitation du champ d’application de la directive par ces dispositions, la juridiction de renvoi souhaite
par conséquent savoir, dans le cadre des trois premières questions:
i) si l’insertion des informations en question sur la page d’accueil constitue un traitement de données à caractère personnel
« automatisé en tout ou en partie » (première question) ou un traitement « non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier » (deuxième question);
ii) si un traitement de données à caractère personnel du type de celui qui est considéré est en tout état de cause exclu du champ
d’application de la directive parce qu’il est « mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire » ou parce qu’il est « effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques » (troisième question).
27. Nonobstant l’ordre suivi par la juridiction de renvoi, il convient à notre avis de résoudre à titre préliminaire les problèmes
soulevés dans le cadre de la troisième question. En effet, étant donné le caractère plus général de l’article 3, paragraphe
2, il nous paraît manifeste que les traitements de données à caractère personnel automatisés en tout ou en partie et les traitements
non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier sont également exclus du
champ d’application de la directive lorsqu’ils sont mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ
d’application du droit communautaire ou lorsqu’ils sont effectués par une personne physique pour l’exercice d’activités exclusivement
personnelles ou domestiques. Dès lors, une réponse affirmative à la troisième question rendrait superflu l’examen des deux
premières questions. Nous commencerons par conséquent par l’examen de cette question.
Sur la troisième question
Arguments des parties
28. Des observations ont été présentées sur cette question par toutes les parties intervenantes, à l’exception du Royaume-Uni
qui s’est borné à examiner les cinquième et sixième questions.
29. M me Lindqvist considère que seuls les traitements de données à caractère personnel effectués dans le cadre d’une activité économique
relèvent du champ d’application de la directive, laquelle ne viserait par conséquent pas un traitement (tel que celui qui
nous intéresse) effectué sans aucune rémunération et en dehors de toute activité à caractère économique. Dans le cas contraire,
selon M me Lindqvist, il se poserait un problème de validité de la directive, l’article 95 CE (sur la base duquel la directive a été
adoptée) ne permettant pas de réglementer au niveau communautaire des activités qui n’ont aucun rapport avec l’objectif de
la réalisation du marché intérieur. Soumettre de telles activités à une directive d’harmonisation adoptée sur la base de cet
article impliquerait en fait une violation du principe consacré à l’article 5 CE, en vertu duquel la «Communauté agit dans
les limites des compétences qui lui sont conférées et des objectifs qui lui sont assignés par le présent traité».
30. Bien qu’il entretienne certains doutes à cet égard, le gouvernement suédois semble lui aussi considérer que la publication
de données à caractère personnel sur une page d’accueil créée par une personne physique dans l’exercice de sa liberté d’expression
et sans aucun lien avec une quelconque activité professionnelle ou commerciale ne relève pas du champ d’application du droit
communautaire. En revanche, en ce qui concerne la portée du second tiret de l’article 3, paragraphe 2, le gouvernement suédois
considère que la diffusion de données à caractère personnel au moyen d’Internet ne peut être qualifiée d’ «activité exclusivement
personnelle ou domestique» dans la mesure où elle consiste à transmettre celles-ci à un nombre indéterminé de personnes.
31. Le gouvernement néerlandais, pour sa part, ne considère pas que le traitement en question échappe au champ d’application de
la directive par application des limites posées par les premier et second tirets de l’article 3, paragraphe 2. En particulier,
il exclut lui aussi que l’activité en question soit de nature purement personnelle ou domestique, étant donné qu’elle implique
la diffusion de données à caractère personnel à un nombre indéterminé et illimité de personnes.
32. Enfin, selon la Commission, il y a lieu d’interpréter largement le champ d’application de la directive, de sorte qu’elle viserait
un traitement du type de celui en cause. En ce qui concerne le premier tiret de l’article 3, paragraphe 2, la Commission souligne
en particulier que le droit communautaire ne régit pas uniquement les activités économiques et observe notamment que l’article
6 UE impose le respect des droits fondamentaux en tant que principes généraux de l’ordre juridique communautaire. Elle observe
ensuite que, comme cela résulte de son préambule, la directive vise également à contribuer au progrès social et au bien-être
des individus et qu’il n’est du reste pas possible d’exclure qu’elle entende également réglementer la libre circulation des
données à caractère personnel comme exercice d’une activité sociale dans le cadre de l’intégration et du fonctionnement du
marché intérieur. En outre, selon la Commission, l’activité en question tombe également dans le champ d’application du droit
communautaire parce que M me Lindqvist est, au sens de l’article 49 CE, «destinataire de services»
(6)
connexes à l’utilisation d’Internet (en particulier de services de télécommunications). La Commission observe enfin que l’on
n’est pas en l’occurrence en présence d’une «activité exclusivement personnelle ou domestique»: en premier lieu, parce qu’une
page d’accueil est accessible à quiconque utilise un moteur de recherche et non seulement à qui en connaît déjà l’adresse;
en second lieu, parce que de telles activités sont par définition uniquement celles qui concernent la vie privée de celui
qui traite les données.
Appréciation
33. Comme cela a été souligné à plusieurs reprises, il faut déterminer en l’espèce si un traitement de données à caractère personnel
du type de celui en cause échappe au champ d’application de la directive en vertu de l’article 3, paragraphe 2, parce qu’il
est «mis en oeuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire» ou parce
qu’il est «effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques».
34. En commençant par le second aspect, nous partageons l’avis de la Commission et des gouvernements suédois et néerlandais selon
lequel un traitement tel que celui qui est examiné en l’espèce ne peut pas être considéré comme effectué pour l’exercice d’
«activités exclusivement personnelles ou domestiques». Nous considérons en effet que cette catégorie recouvre uniquement des
activités telles que «la correspondance et la tenue de répertoires d’adresses» (mentionnées à titre d’exemple au douzième
considérant), c’est-à-dire des activités manifestement privées et confidentielles, destinées à ne pas sortir de la sphère
personnelle ou domestique des intéressés. Nous ne pensons par conséquent pas que l’on puisse considérer comme telle une activité
qui présente une forte connotation sociale, telle l’activité de catéchiste exercée par M me Lindqvist au sein de la communauté paroissiale. Et ce d’autant plus que le traitement effectué échappe clairement à la sphère
personnelle et domestique de M me Lindqvist, étant donné qu’il comporte la publication de données à caractère personnel sur une page d’accueil accessible à
tous, de toutes les parties du monde, notamment grâce à un lien inséré sur un site connu du public (et, en tout état de cause,
qui peut être retrouvé facilement avec un moteur de recherche), tel celui de l’Église de Suède.
35. En revanche, nous sommes d’accord avec M me Lindqvist sur le fait que le traitement en cause est mis en oeuvre «pour l’exercice d’activités qui ne relèvent pas du champ
d’application du droit communautaire».
36.À cet égard, nous observons en effet que la page d’accueil en question a été créée par M me Lindqvist sans aucun but lucratif et uniquement à titre de support de l’activité de catéchiste exercée bénévolement et en
dehors de toute relation de travail au sein de la communauté paroissiale. Le traitement de données à caractère personnel sur
lequel porte la discussion a donc été effectué pour une activité à caractère non économique, qui ne présente aucun lien (ou,
tout au moins, aucun lien direct) avec l’exercice des libertés fondamentales garanties par le traité et ne fait l’objet d’aucune
réglementation spécifique sur le plan communautaire. Il s’en déduit par conséquent, à notre avis, que ce traitement a été
mis en oeuvre pour l’exercice d’une activité qui ne relève pas du champ d’application du droit communautaire, au sens de l’article
3, paragraphe 2, de la directive.
37. La thèse de la Commission, selon laquelle l’activité en question relèverait du champ d’application du droit communautaire
parce qu’en l’exerçant M me Lindqvist était destinataire de nombreux services connexes à l’utilisation d’Internet (en particulier de services de télécommunications)
et se prévalait par conséquent des droits conférés par l’article 49 CE, nous semble du reste forcée. En effet, mis à part
le fait qu’aucun élément transfrontalier pouvant justifier l’application de l’article 49 CE au cas d’espèce ne ressort de
l’ordonnance de renvoi ou du dossier
(7)
, il ne nous paraît que trop évident que l’article 3, paragraphe 2, de la directive serait vidé de tout sens si le champ d’application
du droit communautaire englobait toutes les activités, même non économiques, pour l’exercice desquelles des services de télécommunications
ou d’autres services sont utilisés. Si l’on suivait cette logique, il faudrait également soumettre à la directive, à chaque
fois qu’il est fait usage de ces services pour leur exercice, les activités «prévues aux titres V et VI du traité sur l’Union
européenne» qui sont pourtant expressément mentionnées à l’article 3, paragraphe 2, à titre d’exemple d’ «activités qui ne
relèvent pas du champ d’application du droit communautaire».
38. D’ailleurs, la tentative de la Commission d’inclure l’activité de M me Lindqvist dans le champ d’application de la directive au motif que celle-ci ne poursuit pas uniquement des buts économiques,
mais vise également des objectifs connexes à des exigences de caractère social et à la sauvegarde des droits fondamentaux
nous paraît également forcée.
39.À cet égard, il convient de rappeler que la directive a été adoptée sur la base de l’article 100 A du traité pour favoriser
la libre circulation des données à caractère personnel grâce à l’harmonisation des dispositions législatives, réglementaires
et administratives des États membres sur la protection des personnes physiques à l’égard du traitement de ces données. Le
législateur communautaire a voulu en particulier instaurer un niveau de protection «équivalent dans tous les États membres»,
afin d’éliminer les obstacles à la circulation des données à caractère personnel dérivant des «différences entre États membres
quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée» (septième et huitième
considérants)
(8)
. En effet, une fois la directive d’harmonisation adoptée, «du fait de la protection équivalente résultant du rapprochement
des législations nationales, les États membres ne [pourraient] plus faire obstacle à la libre circulation entre eux de données
à caractère personnel pour des raisons relatives à la protection des droits et libertés des personnes, notamment du droit
à la vie privée» (neuvième considérant).
40. Il est vrai que, pour déterminer le niveau de protection «équivalent dans tous les États membres», le législateur communautaire
a tenu compte de la nécessité de promouvoir «le progrès économique et social» et, surtout, de sauvegarder «les droits fondamentaux
des personnes» (deuxième et troisième considérants), afin de garantir un «niveau élevé» de protection (dixième considérant).
Il a cependant toujours agi dans le cadre et dans le but de réaliser l’objectif principal de la directive, à savoir favoriser
la libre circulation des données à caractère personnel, cela étant considéré comme «fondamental pour le marché intérieur»
(huitième considérant).
41. La promotion du progrès économique et social et la sauvegarde des droits fondamentaux représentent par conséquent des valeurs
et des exigences importantes dont le législateur communautaire a tenu compte en définissant les dispositions harmonisées nécessaires
pour l’établissement et le fonctionnement du marché intérieur, mais ne constituent pas des objectifs autonomes de la directive.
Il faudrait considérer sinon que la directive vise également à protéger les individus à l’égard du traitement des données
à caractère personnel indépendamment de l’objectif consistant à favoriser la libre circulation de ces données, avec la conséquence
incongrue de faire relever du champ d’application de celle-ci des traitements effectués pour l’exercice d’activités qui ont
une certaine importance sociale, mais qui ne présentent aucun rapport avec l’établissement et le fonctionnement du marché
intérieur.
42. D’autre part, comme l’a souligné M me Lindqvist, si l’on attribuait à la directive, outre le but de favoriser la libre circulation des données à caractère personnel
dans le marché intérieur, des objectifs supplémentaires et autonomes connexes à des exigences de caractère social et à la
sauvegarde des droits fondamentaux (en particulier du droit à la vie privée), on risquerait de mettre en cause la validité
même de la directive, étant donné que la base juridique de celle-ci serait manifestement inappropriée dans ce cas. En effet,
l’article 100 A du traité ne saurait être invoqué à titre de fondement de mesures qui dépassent les finalités spécifiques
mentionnées dans cette disposition, à savoir pour des mesures qui ne seraient pas justifiées par l’objectif de favoriser
«l’établissement et le fonctionnement du marché intérieur».
43. Rappelons à cet égard que, dans l’arrêt qui a annulé la directive 98/43/CE
(9)
pour défaut de base juridique, la Cour a récemment eu l’occasion de préciser que «les mesures visées à l’article 100 A,
paragraphe 1, du traité sont destinées à améliorer les conditions de l’établissement et du fonctionnement du marché intérieur.
Interpréter cet article en ce sens qu’il donnerait au législateur communautaire une compétence générale pour réglementer le
marché intérieur serait non seulement contraire au libellé même des dispositions précitées, mais également incompatible avec
le principe consacré à l’article 3 B du traité CE (devenu article 5 CE) selon lequel les compétences de la Communauté sont
des compétences d’attribution»
(10)
. En ce qui concerne spécifiquement la protection des droits fondamentaux, nous rappellerons que dans l’avis 2/94, rendu après
l’adoption de la directive, la Cour a explicitement affirmé qu’ «aucune disposition du traité ne confère aux institutions
communautaires, de manière générale, le pouvoir d’édicter des règles en matière de droits de l’homme»
(11)
.
44.À la lumière de l’ensemble de ces considérations, nous proposons par conséquent de répondre à la première question que, en
vertu de l’article 3, paragraphe 2, premier tiret, de la directive, ne relève pas du champ d’application de la directive un
traitement de données à caractère personnel consistant en la création, sans aucun but lucratif, d’une page d’accueil du type
de celle en cause, qui est exclusivement destinée à servir de support à une activité de catéchiste exercée, à titre bénévole
et en dehors de toute relation de travail, au sein de la communauté paroissiale.
Sur les autres questions
45. Ayant conclu qu’un traitement de données à caractère personnel du type de celui qui est considéré en l’espèce ne relève pas
du champ d’application de la directive, nous estimons qu’il n’est pas nécessaire d’examiner les autres questions formulées
par la juridiction de renvoi.
Conclusions
46.À la lumière des considérations que nous venons d’exposer, nous proposons par conséquent à la Cour de répondre comme suit
au Göta hovrätt:
«En vertu de l’article 3, paragraphe 2, premier tiret, de la directive 95/46/CE du Parlement européen et du Conseil, du 24
octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et
à la libre circulation de ces données, ne relève pas du champ d’application de la directive un traitement de données à caractère
personnel consistant en la création, sans aucun but lucratif, d’une page d’accueil du type de celle en cause, qui est exclusivement
destinée à servir de support à une activité de catéchiste exercée, à titre bénévole et en dehors de toute relation de travail,
au sein de la communauté paroissiale.»
À titre d’exemple d’activités «exclusivement personnelles ou domestiques», le douzième considérant mentionne en particulier
«la correspondance et la tenue de répertoires d’adresses».
À titre d’exemple, les dispositions en question citent les activités «prévues aux titres V et VI du traité sur l’Union européenne».
Elles ajoutent ensuite que sont exclus, en tout état de cause, les «traitements ayant pour objet la sécurité publique, la
défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions
de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal».
À cet égard, la Commission invoque en particulier, par analogie, les arrêts du 31 janvier 1984, Luisi et Carbone (286/82 et
26/83, Rec. p. 377), et du 2 février 1989, Cowan (186/87, Rec. p. 195).
Voir notamment, en dernier lieu, les arrêts du 9 septembre 1999, RI. SAN. (C-108/98, Rec. p. I-5219, point 23); du 21 octobre
1999, Jägerskiöld (C-97/98, Rec. p. I-7319, point 42), et du 11 avril 2000, Deliège (C-51/96 et C-191/97, Rec. p. I-2549,
point 58).
Il est souligné en particulier au septième considérant que ces différences pouvaient «constituer un obstacle à l’exercice
d’une série d’activités économiques à l’échelle communautaire, fausser la concurrence et empêcher les administrations de s’acquitter
des responsabilités qui leur incombent en vertu du droit communautaire».
Directive du Parlement européen et du Conseil, du 6 juillet 1998, concernant le rapprochement des dispositions législatives,
réglementaires et administratives des États membres en matière de publicité et de parrainage en faveur des produits du tabac
(JO L 213, p. 9).